🌐 Web・サイト 💰 コスト 2026年7月 | 株式会社リープリック

クラウドの「設定ミス」が情報漏洩になる
——Google Workspace・Microsoft 365の落とし穴

クラウドの情報漏洩は、外部のハッカーが侵入してくるだけが原因ではありません。実は多くのケースで、原因は「設定したつもり」だった内側の穴です。GoogleドライブやMicrosoft 365の初期設定・共有設定のミスは、知らないうちに社外へのドアを開け放してしまっています。

「攻撃された」のではなく「開いていた」

セキュリティ事故というと、高度なハッカーが巧みな手口で侵入してくるイメージを持つ方が多いかもしれません。しかしクラウドサービスに関しては、最大のリスクは外部からの攻撃ではなく、設定の不備による「意図せぬ公開」であることが多いのです。

⚠️ 実際に起きている事故の例

・Google ドライブのファイルを「リンクを知っている全員」で共有したまま社外へ送付 → ファイルがインターネット上に公開状態に

・Microsoft Teams の外部招待設定をオンにしたまま放置 → 退職した外部メンバーが引き続きチャンネルを閲覧できる状態

・Google Workspace の MFA(多要素認証)が未設定のアカウントに対し、リスト型攻撃でログイン成功

これらはすべて「高度な攻撃」ではありません。クラウドサービスのデフォルト設定や、使い方の慣習がそのままリスクになっているケースです。

たとえ話——引越し直後に窓のカギを確認しない

💡 クラウド設定ミスをたとえると

引越し直後のことを想像してください。新しい家具を搬入し、インターネットも開通させ、「よし、これで準備完了」と安心しました。しかし後日、裏口の窓が最初から鍵のかかっていない状態だったことに気づきます。

設置した業者も、あなた自身も、「初期状態でロックされている」と思っていた——でも実際は違った。

Google WorkspaceやMicrosoft 365の多くの設定は、「デフォルトのまま使うと外部と共有されやすい」状態になっています。意図的に変更しない限り、窓は開いたままなのです。

クラウドサービスを導入した際、「設定した」という事実と「正しく設定できた」という確認は別の話です。多くの中小企業では導入時に急いで使い始め、セキュリティ設定の見直しが後回しになっています。

Google Workspace でよくある設定ミス

① Googleドライブの共有範囲が「リンクを知っている全員」になっている

Google ドライブでファイルを共有する際、「リンクを知っている全員」を選ぶと、そのURLさえわかればインターネット上の誰でもファイルを閲覧できます。検索エンジンにインデックスされる可能性もあります。

📋 なぜこの設定が多用されるのか

「相手のGoogleアカウントを知らなくても共有できる」という手軽さから、社外への資料送付時に使われがちです。用が済んだ後に共有設定を戻すのを忘れ、機密情報が長期間公開されたままになるケースが後を絶ちません。

正しくは「特定のユーザーと共有」を使い、必要な相手だけにアクセス権を付与します。共有が終わったら設定を「制限付き」に戻す習慣が重要です。

② 組織全体への共有が意図せず有効になっている

Google Workspace の管理設定では、ドライブ内のファイルを「組織内全員が閲覧可能」にするオプションがあります。便利な反面、部署をまたいで閲覧してほしくない人事情報・財務データなども全社員から見える状態になるリスクがあります。

約6割
クラウド情報漏洩の原因が
設定ミス・内部操作
(IPA 2024年調査より)
平均430万円
データ漏洩1件あたりの
平均被害コスト
(中小企業規模)
73%
MFAを設定していない
アカウントの不正ログイン
成功率(業界調査)

Microsoft 365 でよくある設定ミス

① Teams の外部招待が全社で許可されている

Microsoft Teams では、組織外のゲストユーザーをチャンネルに招待できる機能があります。この設定が管理者レベルで「許可」になっていると、誰でも外部のゲストを社内 Teams に招待できてしまいます

特に問題になるのが「退職した取引先担当者」や「プロジェクト終了後のフリーランス」がゲストとして残り続けているケースです。チャンネルの会話ログ・ファイルを引き続き閲覧できる状態が続くことになります。

⚠️ 見落とされがちなゲスト管理のリスク

・プロジェクト終了後も外部ゲストのアクセスが残ったまま

・ゲストが誰なのか管理者も把握していない

・チャンネルに共有されたファイルを外部から持ち出せる状態

② メールルールの改ざん

Microsoft 365 のメールアカウントに不正アクセスされた場合、攻撃者がよく使う手口のひとつが「自動転送ルールの設定」です。特定のキーワード(「振込」「契約書」「パスワード」など)を含むメールを外部アドレスに自動転送するルールを仕込むことで、被害者が気づかないうちに重要メールが流出し続けます。

これはパスワードを変更してアカウントを取り戻した後も、転送ルール自体を削除しなければ漏洩が続くという特徴があります。アカウントへの不正アクセスが疑われる場合は、メールルールの確認を必ず行ってください。

③ MFA(多要素認証)が未設定のアカウントがある

「パスワードが漏れてもMFAがあれば大丈夫」とよく言われますが、逆に言えばMFAがなければパスワード1つで全情報にアクセスできるということです。Microsoft 365 では既定でMFAが推奨されていますが、古くから使っているアカウントや管理者が個別に除外したアカウントにMFAが設定されていないケースがあります。

📋 MFAとは?

パスワードに加えて、スマートフォンへの通知・ワンタイムコード・指紋認証など「もうひとつの確認」を求める認証方式。仮にパスワードが流出しても、2つ目の認証がなければログインできません。Microsoft・Googleともに無料で設定できます。

導入時・今すぐ確認すべきセキュリティチェックリスト

クラウドサービスを導入済みの方も、これから導入する方も、以下の項目を今すぐ確認してください。「全部できている」と即答できれば、設定面のリスクは大きく低減できます。

Google Workspace チェック

Microsoft 365 チェック


設定を見直す——4つのステップ

「何から手をつければいいかわからない」という方に向けて、優先順位の高い順に整理します。

まとめ——「設定した」と「正しく設定できた」は違う

💡 まとめると

クラウドセキュリティの最大のリスクは、技術的な脆弱性ではなく「設定のズレを誰も確認していないこと」です。引越し後に窓のカギを確認しなかった家と同じく、一度確認すれば防げるリスクが放置されています。まず現状を把握することが、すべての出発点です。

自社のクラウド設定、本当に大丈夫ですか?

Leapsecの無料診断では、外部から見た自社ドメインのリスクを5分・登録不要・無料で確認できます。
まず「今の状態」を知るところから始めましょう。

✓ 登録不要 ✓ 完全無料 ✓ ドメインを入力するだけ
無料でセキュリティ診断を試す →

結果はメールで届きます。営業電話は一切ありません。

参考・出典

IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2024」/総務省「クラウドサービスの安全な利用に関する手引き」/Microsoft・Google 公式セキュリティドキュメント

執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)