過去数社で数年にわたってGoogleドライブを社内のファイルストレージとして運用し、ノウハウも溜まってきたのでまとめておきます。
なお、Googleドライブはクラウドストレージでありファイルサーバーではないので、タイトルは厳密には「従来のWindowsファイルサーバー代わりにGoogleドライブを利用する」という意味合いです。

この記事は「情シスSlackアドベントカレンダー2020#1」の23日目の記事でもあります。

はじめに

GoogleドライブはGoogle Workspace（旧G Suite）で利用できるクラウドストレージです。
Boxのようなストレージに特化した製品には敵わない部分も多いですが、Google Workspaceを導入しているベンチャーも多いですし、
「そろそろファイルサーバーが必要だけど、オンプレのNASはちょっと…」
といった状況の会社には丁度良いと思います。
Google Workspace導入済みであれば無料で使用できますし、全文検索の圧倒的な速さと精度はさすがGoogleといったところです。

マイドライブと共有ドライブ

Google WorkspaceのBusiness Starterプラン（旧Basicプラン相当）では個人のGoogleアカウントと同じマイドライブしか使用できません。
Business Standardプラン（旧Business相当）以上になると、マイドライブに加えて共有ドライブ（旧チームドライブ）が使用可能です。

マイドライブは、そのアカウントがオーナーであるドライブで、マイドライブ内のすべてのファイルのオーナーはマイドライブのオーナーと同一です。

一方、共有ドライブのオーナーはアカウントではなく組織となります。
共有ドライブが使用できるプランを契約すると、このようにマイドライブの下に共有ドライブが見えるようになります。

共有ドライブでは、共有ドライブごとに権限を設定し、その中に格納されたファイルはすべて共有ドライブの権限と等しくなります。

共有ドライブはトップ階層でのみ権限を設定し、共有ドライブ内で更に権限を絞るといったことはできません。
また、マイドライブ内のファイルの権限はマイドライブのオーナー自身が自由に設定できますが、共有ドライブの場合は管理者のみが設定できるようにすることも可能です。

共有ドライブは以前は容量無制限でしたが、Google Workspaceへの移行に伴い上限が設定されました。
「契約しているライセンス数×◯TB」が組織全体のストレージ容量の上限になります。
詳細はGoogle Workspaceの各プランの説明をご確認ください。

マイドライブの問題

マイドライブだけで社内ファイルストレージとして運用することも可能ですが、適切に管理できていないと以下のような問題が往々にして起こります。

・オーナーが個人アカウントなので、退職後にアカウントを削除すると
　ファイルがすべて消えてしまった
・マイドライブ内で社外のアカウントに大量にファイル共有していて
　統制が効いていない
・新しく入ったメンバーに資料を共有するために、個々のファイルの
　共有設定を個別に変更する必要があり手間

Googleドライブの共有設定

Googleドライブを社内ファイルストレージとして運用しようとして多くの人が最初に戸惑うのが、「共有設定をどのようにすればいいのか」という点でしょう。
しかも似たような設定をする箇所が複数あるので、どこで設定すればいいのか混乱します。

Googleドライブの共有設定は、他のGoogleアプリと同様に管理コンソールから行い、以下の画像のように組織単位で設定します。
※組織ではなくグループ単位で設定ができるようにも最近なりましたが、
　今回は組織を使って解説します

■外部共有のレベル
マイドライブ・共有ドライブの外部共有のレベルには、以下の3つがあります。

1.外部共有ON
2.ホワイトリスト登録済みドメインのみ許可
3.外部共有OFF

1は何も制限なく組織外のアカウントにGoogleドライブ内のファイルを共有できます。
2は管理者があらかじめホワイトリストに登録したドメインに対してのみ組織外共有できます。
なお、ホワイトリストに登録できるのはドメイン単位で、特定のメールアドレスを指定してホワイトリストに登録することはできません。
3は組織外のアカウントに対する共有を一切禁止します。

「1.外部共有ON」だと組織外の誰にでも共有できてしまうので、「2.ホワイトリスト共有」で特定のドメインにのみ共有できるように制限をかけておくのが現実的でしょう。

■組織の共有設定と共有ドライブの共有設定
組織による共有設定とは別に、共有ドライブ自体にも共有設定があります。

「組織外のユーザーにファイルへのアクセス権を付与できるようにする」という設定（上記画像の②）がありますが、こちらをONにしても組織のトップ階層で外部共有がONになっていないと外部共有はできない仕様になっています。
つまり、「組織全体の共有レベル＞共有ドライブの共有レベル」という関係になります。
組織全体の設定が「2.ホワイトリスト共有」になっていれば、共有ドライブでホワイトリスト外への共有はできませんし、組織の設定が「1.外部共有ON」になっていて共有ドライブの設定でも外部共有が許可されていれば、組織外に共有が可能です。

■マイドライブの共有設定
マイドライブの共有設定はシンプルで、対象のユーザーが所属する組織の共有設定に準じます。
マイドライブの共有設定は共有ドライブと異なり、組織全体の共有設定をオーバーライドできます。
よって、組織全体では外部共有OFFにしていても、特定の組織に所属するユーザーのマイドライブのみ外部共有ONにするという設定も可能です。

■共有設定のまとめ
ややこしくなってきたので図に整理すると、以下の通りです。

各ユーザーのマイドライブ内では、そのユーザーが所属する組織の共有レベルに準じて権限の設定が可能です。
各共有ドライブのメンバは、組織全体の共有レベルの範囲内で設定可能です。

たとえば、「マイドライブでは共有禁止にして、共有ドライブのみホワイトリスト共有可能。共有ドライブの作成は特権管理者のみが可能」というよくある設定を実現したい場合、以下のように設定します。

トップ組織で外部共有OFFにしてしまうと共有ドライブでホワイトリスト共有ができなくなってしまうので、「トップ階層ではホワイトリスト共有を許可し、各利用者が所属する組織では外部共有OFFにする」というのがミソです。

組織外のユーザーとの共有

2020年9月に、「Googleアカウントを持たない組織外ユーザーにGoogleドライブを共有する」という待望の機能がリリースされました。
それまでは、先方が自社ドメインでGoogle Workspaceを契約していなければホワイトリスト共有できなかったので、社外連携の幅が一気に広がりました。
Google WorkspaceではなくMS365を契約している企業との連携などに便利です。

ただしこの機能もいくつか制限があります。
まず、組織外共有のレベルは組織全体の共有設定に準じます。
組織のトップ階層で「ホワイトリスト共有」としていた場合は、Googleアカウントを持たないアカウントへの共有だとしても、共有先のドメインをホワイトリストに登録する必要があります。
共有ドライブの共有設定と同様に、下位組織の共有設定がトップ組織の共有レベルを越えることはできません。

また、共有先のホワイトリストには "@gmail.com" の個人Googleアカウントのドメインは登録できません。
これはそもそもの仕様なので仕方ないですが、 "@gmail.com" のアカウントにバイネームで共有したい場合、組織のトップ階層で「外部共有ON」に設定して、下位組織で権限を絞るしかありません。

さらに、先方が自社ドメインのメールアドレスで無料のGoogleアカウントを取得していた場合、「個人アカウント」と判断されて共有できないようです。この場合は先方に個人Googleアカウントを削除してもらうか、Google Workspaceを契約してもらうしかありません。

Googleドライブで最初にやっておくべき設定

■マイドライブでの外部共有禁止
各ユーザーのマイドライブの中は特権管理者であっても見ることはできません。マイドライブ内で外部共有を許可していると、利用者が自由に共有できてしまうので、どんどん共有が増えてカオスになってしまいます。
先述の退職時の問題などもあるので、共有ドライブの導入が決まったらなるべく早い段階でマイドライブでの外部共有はOFFにしておき、共有ドライブでのみ外部共有できる運用にしておきましょう。
ただし、既にマイドライブ内でいくつかのファイルが外部共有されている状態で外部共有をOFFにすると、既存の共有設定に影響が発生する可能性があるので、必ず事前にテスト用の組織などで検証を実施してください。

■共有ドライブ作成権限の剥奪
こちらも先述の通りですが、デフォルトの設定では誰でも新しく共有ドライブを作成できてしまいます。
共有ドライブの権限の仕様を理解してもらうことがまず難しいですし、システム管理者のみが共有ドライブを作成できるように組織設定を変更しておきましょう。

■共有ドライブごとの設定
共有ドライブでは、共有ドライブごとに以下の項目を設定できます。
デフォルトのままだと危険な設定もあるので、変更しておきましょう。

①は共有ドライブの運用にもよりますが、共有ドライブのメンバに「管理者」ロールを付与する場合はチェックOFFにしておかないと、この設定自体を変更できてしまいます。
共有ドライブに「管理者」を設定せず、「コンテンツ管理者」以下のロールのみで運用する場合はONのままでも影響ありません。
メンバのロールについては説明すると長くなるので、こちらのヘルプをご覧ください。

②は共有ドライブ内で組織外ユーザーとの共有を許可する場合はONにしておきましょう。

③も2020年9月にリリースされた機能です。
共有ドライブ内の特定のフォルダを、共有ドライブ外のユーザーに共有できるようになりました。
たとえば、「人事部しかアクセスできない共有ドライブの中にある特定のフォルダを、人事部以外の部署の役職者に共有する」といった使い方ができるようになります。
便利といえば便利なのですが、共有ドライブ内で個別に共有されているフォルダの特定が困難なので、共有ドライブの権限が把握しきれなくなり、想定外の範囲に共有されていたというインシデントが起きる可能性もあるので、個人的にはOFFを推奨します。

■共有ドライブのメンバー変更禁止
これは会社によって運用が分かれるところです。
共有ドライブに「管理者」ロールを持つユーザーを割り当てると、そのユーザーは自由に共有ドライブのメンバを変更できます。
権限変更の頻度が激しい共有ドライブでは管理者を渡した方が楽かもしれませんが、統制を効かせたいのであれば管理者は付与せずに、共有ドライブの権限はシステム管理者のみが変更できるようにしておく方がいいでしょう。

Googleドライブのハマりどころ

Googleドライブの運用にあたり、いくつかハマりやすい罠があります。

■共有ドライブの制限
各共有ドライブごとに、「保存できるオブジェクトは400,000個、ネストできる階層は20まで」という制限があります。
詳細は公式のヘルプをご確認ください。
既存のファイルサーバーからごっそりファイルをコピーして移行しようとするとこの制限に引っかかることがあるので、整理しながら移行するようにしましょう。
ただし、この上限も少しずつ拡張されているので、今後は更に増える可能性はあります。

■Drive File Stream
GoogleドライブはWebブラウザからの利用だけでなく、「Drive File Stream（以下DFS）」というアプリケーションをインストールし、ネットワークドライブのようにアクセスすることができます。
Windowsの場合はこんな感じでGドライブにマウントされ、エクスプローラーからアクセスできるようになります。

ドライブがマウントされるので、UNCパス指定でマクロが動いたり、robocopyでファイルコピーするといった使い方もできてしまいます。
実際に既存ファイルサーバーからGoogleドライブに移行する際は、DFS経由でrobocopyを使うことが多いです。
※実体はNTFSではないので、一部の属性はコピーできません

Excelファイルなどを都度ブラウザからダウンロードしなくても直接開けるので非常に便利なのですが、DFSは「同期が遅れる」「不整合が発生する」といった問題がそれなりの頻度で発生します。
具体的には、「ブラウザからGoogleドライブにアクセスした場合は最新のファイルが見えるのに、DFSだと表示されない」といった状態になります。
そのような場合は、クライアントのDFSキャッシュを削除した後にDFSを再起動すると解消します。
※Windowsの場合は「%LOCALAPPDATA%\Google\DriveFS」をフォルダごと削除すればOK

基本はブラウザベースでGoogleドライブを使用し、Officeファイルを頻繁に扱うメンバーのみDFSを許可するのがいいでしょう。

おわりに

なかなか癖のあるGoogleドライブですが、共有設定と運用ルールを最初にしっかりと決めておけば、後はそこまで大変ではありません。
Google WorkspaceのBusiness以上のプランを導入していれば社内ファイルストレージとしてそのまま使うこともできるので、ぜひ活用してみてください。