独立直後の2023年、自分のGoogleドライブを棚卸ししたら、クライアント納品用PDFが3件「リンクを知っている全員」で共有されたままだった。SIer時代に「デフォルトパーミッションは必ず確認しろ」と叩き込まれたはずの人間が、自分のアカウントでは半年以上放置していた。問題に気づけたのは、Googleの「セキュリティ診断」を実行したのがきっかけだ。

結論から言う。Googleアカウントのセキュリティ診断は3分で完了する。にもかかわらず、一度も実行したことがないユーザーは相当数いるはずだ。復旧用の電話番号が古いまま、サードパーティアプリに不要な権限を渡し続けている、2段階認証が未設定。こうしたリスクを色分け(赤・黄・青)で可視化してくれる公式ツールが、Googleアカウントの設定画面に最初から用意されている。

セキュリティ診断で確認される5つの項目

セキュリティ診断はmyaccount.google.com/security-checkupにアクセスするだけで実行できる。2026年6月時点の診断項目は以下の通りだ。

1. お使いのデバイス

現在Googleアカウントにログインしている端末の一覧が表示される。見覚えのないデバイス名や、数年前に手放したスマートフォンが残っていないかを確認する。心当たりのない端末があれば、その場でログアウトできる。

2. 最近のセキュリティ関連のアクティビティ

過去28日間のセキュリティイベント(パスワード変更、新規ログイン、復旧情報の変更等)が時系列で並ぶ。SIer時代に毎朝アクセスログを目視チェックしていたルーティンと、やっていることの構造は同じだ。海外IPからの不審なログイン試行は、ここで発見できる。

3. ログインと再設定

復旧用の電話番号とメールアドレスが正しいか確認する項目。機種変更で電話番号が変わったのに復旧先を更新していないケースは多い。ここが古いままだと、アカウント乗っ取り時に復旧手段が機能しない。

4. サードパーティによるアクセス

Googleアカウントに接続されているアプリやサービスの一覧。「Googleでログイン」を使って連携したサービスが全て表示される。半年以上使っていないサービスへのアクセス権は削除して問題ない。筆者の場合、独立直後に確認したら12件のサードパーティアプリが接続されたまま残っていた。うち8件は退会済みか利用停止中のサービスだった。

5. Googleへのログイン(2段階認証)

2段階認証の設定状況を表示する。未設定の場合は赤の警告が出る。Googleの公式ヘルプでもアカウント保護の第一歩として2段階認証の有効化を推奨している。

診断対象外だが手動で確認すべき設定

セキュリティ診断で「問題なし」の緑マークが出ても、診断対象外の設定にリスクが潜んでいることがある。

Googleドライブの共有設定。セキュリティ診断はドライブのファイル共有状態を検査しない。「リンクを知っている全員」で共有したまま放置されたファイルは、Googleドライブを開き、フィルタで「共有先: すべて」を選択して手動確認する必要がある。冒頭で書いた筆者の失敗は、まさにこの盲点を突かれたケースだ。

アプリ パスワード。2段階認証を有効にした状態で、古いメールクライアント用に発行した「アプリ パスワード」が残っていることがある。アプリ パスワードは2段階認証をバイパスするための仕組みであり、発行したまま放置すると実質的にバックドアとなる。myaccount.google.com/apppasswordsから一覧を確認し、不要なものは即座に取り消すべきだ。

ウェブとアプリのアクティビティ。2020年6月以前に作成されたGoogleアカウントは、検索履歴の自動削除がデフォルトで無効になっている。アカウント開設時からの検索履歴が無期限保存されている可能性がある。マイアクティビティから自動削除を18ヶ月に設定しておくのが合理的だ。これはSIer時代のログローテーション設計と同じ発想で、「記録は取るが、保持期間は制御する」という原則にあたる。

実行手順と棚卸しの頻度

手順は単純だ。

  1. myaccount.google.com/security-checkupにアクセスする
  2. Googleアカウントにログインする(未ログインの場合)
  3. 表示された項目を上から順に確認する。赤は即時対応が必要、黄は要検討、青は推奨
  4. 見覚えのないデバイスはログアウト。使っていないサードパーティアプリはアクセス権を削除する
  5. 復旧用の電話番号・メールアドレスが最新であることを確認する

所要時間は3分。SIer時代の毎朝のログチェックと同じで、やること自体は単純だが、やらないと問題が可視化されない。半年に1回、カレンダーに「Googleセキュリティ診断」を入れておくのが現実的な頻度である。筆者は毎年1月と7月にGoogleドライブの共有設定棚卸しとセットで実施している。

※ 検証はmacOS 15.5 / Chrome 137 / iPhone 15 Pro(iOS 18.5)の環境で2026年6月に実施した。Googleの管理画面UIは変更される場合がある。

2段階認証が未設定なら最優先で有効にする

セキュリティ診断で最も重大な「赤」として表示されるのが、2段階認証の未設定だ。

  1. myaccount.google.com/signinoptions/two-step-verificationにアクセス
  2. 「使ってみる」をクリック
  3. SMS認証または認証アプリ(Google Authenticator等)を選択して設定する

SMS認証は最低限の防御になるが、SIMスワップ詐欺のリスクが残る。可能であればGoogle AuthenticatorやMicrosoft Authenticatorなどの認証アプリ、またはパスキーの設定を推奨する。

筆者は認証アプリとYubiKey 5 NFCの併用体制を取っている。過去に2FAのQRコード保存を怠ってGitHubに3日間ログインできなくなった教訓があり、バックアップコードは1Passwordと紙の両方に保管するルールにした。認証手段が1つしかない状態は、SIer時代のインフラ設計で禁じ手とされていた「単一障害点」と同じ構造だ。冗長構成にしておかないと、壊れたときに全部止まる。

FAQ

セキュリティ診断はスマートフォンからも実行できるか

ブラウザでmyaccount.google.com/security-checkupにアクセスすれば、iPhoneでもAndroidでも実行できる。Googleアプリの「アカウント管理」→「セキュリティ」からもアクセス可能だ。

「問題が見つかりました」と表示されたが放置するとどうなるか

即座にアカウントが停止されることはない。ただし復旧用の情報が古いままだと、パスワードを忘れた場合やアカウント乗っ取り時に本人確認ができず、アカウントを永久に失う可能性がある。黄色以上の警告は放置せず対応すべきだ。

Google Workspaceの管理者アカウントでもセキュリティ診断は使えるか

管理者アカウントでも個人のセキュリティ診断は実行できる。ただし組織全体のセキュリティ監査にはGoogle管理コンソールのセキュリティセンターを使う必要がある。

セキュリティ診断の結果はGoogleに送信されるのか

セキュリティ診断はGoogleアカウントの設定画面上で動作する公式機能であり、診断結果を外部に送信する仕組みではない。表示される情報はアカウント所有者本人にのみ開示される。

参考文献