Googleから届いた警告メール、放置していませんか？APIキー管理の落とし穴

先日、Googleから「セキュリティのベストプラクティスについて」という件名のメールが届きました。

読んでみると「ゼロコードストレージ」「IAM Recommender」「サービスアカウントキーのローテーション」……正直、IT担当者でも一瞬止まるような専門用語のオンパレードです。

このメールで言っているのは、「あなたの会社で使っているGoogleの鍵、ちゃんと管理できていますか？」という警告です。

今回は、このGoogleからのメールが何を言っているのか、IT苦手な経営者の方にもわかるように解説します。

そもそも「APIキー」「サービスアカウントキー」って何？

Googleマップの埋め込み、Gmailとの連携、スプレッドシートの自動処理……こうしたGoogleのサービスを外部から使うときに必要になるのが「APIキー」や「サービスアカウントキー」です。

わかりやすく言えば、「会社の合鍵」のようなもの。

• APIキー = 特定のサービスを使うための合鍵（例：Googleマップを表示するための鍵）
• サービスアカウントキー = システムが自動でGoogleサービスにログインするための合鍵

この「合鍵」が悪意ある第三者に渡ると、あなたの会社のGoogleアカウントが勝手に使われてしまいます。

Googleが警告している「本当のリスク」

Googleがこのメールで最も伝えたいこと：

「有効期限のない合鍵を作って、そのまま放置していませんか？
それが不正アクセスの最大の原因です」

実際に起きている被害の典型例を挙げます。

• Googleマップの鍵が盗まれた → 他人に大量に使われて、ある日突然数十万の請求が届く
• サービスアカウントの鍵が漏れた → 社内のGoogleドライブやメールに不正アクセスされる
• 退職した社員が作った鍵が放置されている → 誰も把握していないまま、外部からのアクセス経路が残り続ける

Googleが推奨する5つの対策（経営者向けに要約）

経営者として押さえるべきポイントは5つだけです。

1. 鍵をプログラムに直書きしない

Web制作会社に開発を依頼したとき、APIキーがプログラムのコードに直接書かれていることがあります。これは家の鍵を玄関マットの下に置いているようなもの。Googleの「Secret Manager」などの仕組みを使って、安全に管理する必要があります。

2. 使っていない鍵は無効にする

30日間使われていない鍵は無効化しましょう。「いつか使うかも」で放置された鍵が、不正アクセスの入口になります。退職者が作成した鍵も要チェックです。

3. 鍵の用途を限定する

「何でもできる万能鍵」は危険です。Googleマップ用の鍵はGoogleマップだけ、特定のIPアドレスからだけ使えるように制限をかけるのが基本です。

4. 権限は必要最小限にする

WEBサービス（サービスアカウント）に「管理者権限」を与えてしまうケースが多いですが、これはアルバイトに金庫の暗証番号を教えるようなもの。必要な操作だけ許可するのが鉄則です。

5. 鍵には有効期限を設定する

合鍵に有効期限がなければ、一度漏れたら永久に使われ続けます。定期的に鍵を交換する仕組みを作りましょう。

さらに大事な「異変に気づく仕組み」

もう一つ、大事なこと：

「請求額の急増は、鍵の漏洩を示す最初の兆候」

つまり、Googleの利用料金が突然跳ね上がったら、それはハッキングのサインかもしれないということです。

以下の設定は必ず確認してください。

• クレカ請求額のチェック：経理担当に定額請求やWEBサービスの請求額が跳ね上がったら報告してもらうようにする。
• 緊急連絡先：セキュリティ問題が検出されたとき、社長や担当者にメールが届くように設定

まず確認すべき3つのこと

「うちはそこまでGoogleを使っていないから関係ない」と思った方もいらっしゃるかもしれませんが、身近な所で使われている場合があります。
たとえば、ホームページにGoogleマップを埋め込んでいるだけでも、APIキーは存在します。

まずは以下を確認してみてください。

1. 自社サイトでGoogleマップを使っていないか？ → 使っていれば、APIキーが存在しています
2. 制作会社にAPIキーの管理状況を確認 → 「制限はかかっていますか？」と聞くだけでOKです
3. Google Cloudの管理画面で未使用の鍵がないか確認 → Google Cloud Consoleで確認できます

まとめ：Googleからの警告は「合鍵の管理を見直せ」

今回のGoogleのメールを一言でまとめると、こうなります。

「あなたの会社のGoogleの合鍵、誰が・いくつ・どこで使っているか把握していますか？
把握できていないなら、今すぐ整理してください」

専門用語は難しくても、やるべきことはシンプルです。
使っていない鍵は消す。残す鍵には制限をかける。定期的に交換する。
これだけで、不正アクセスのリスクは大幅に減ります。

WEBセキュリティでのお困りのことがあればお気軽にご相談ください。

無料相談はこちら

WordPressサイトのセキュリティ無料診断も実施中 →

この記事を書いた人

数藤 圭介

株式会社ネクスト・アクション 代表取締役

パイオニア(株)にて15年間勤務後、2008年にWebコンサルタントとして独立。2014年に株式会社ネクスト・アクションを設立。WordPressセキュリティの専門家として、これまでに2,000サイト以上のハッキング復旧・セキュリティ対策を実施。中小企業のWEBセキュリティ顧問として、脆弱性診断からメール訓練、ガバナンス構築まで一貫して支援。