「うちの会社のGoogle Workspaceで、誰がいつ、どのファイルにアクセスしたか分かるのだろうか?」 「管理者の設定変更履歴を確認したいけど、どこを見ればいい?」 「もし情報漏洩などのインシデントが起きた時、原因を追跡できるか不安…」
企業でGoogle Workspaceを利用する上で、このような疑問や不安を感じたことはありませんか? クラウドサービスを安全かつ適切に利用するためには、システム内での操作履歴を把握し、管理することが非常に重要です。そのための鍵となるのが「監査ログ」です。
監査ログは、専門的で少し難しそうに聞こえるかもしれませんが、Google Workspaceのセキュリティを維持し、組織のITガバナンスとコンプライアンスを遵守する上で不可欠な機能です。
この記事では、Google Workspaceの監査ログについて、監査ログに初めて触れる管理者の方や、基本を改めて知りたい方向けに、以下の点を分かりやすく解説していきます。
まず、「監査ログ」とは何か、その基本的な概念と、ビジネスにおける重要性について理解しましょう。
監査ログとは、端的に言えば「システムの利用状況や設定変更の履歴を記録した、操作の証跡」です。「いつ、誰が(どのユーザーが、どのIPアドレスから)、何をしたか(どのファイルにアクセスした、どの設定を変更したなど)」といった情報が時系列で記録された、いわばシステムの活動記録簿です。
では、なぜこの監査ログが重要なのでしょうか? 主な理由は4つあります。
セキュリティインシデントの調査・原因究明 万が一、不正アクセス、マルウェア感染、情報漏洩などのセキュリティインシデントが発生した場合、監査ログは「何が起こったのか」「原因は何か」「影響範囲はどこまでか」を特定するための決定的な手がかりとなります。迅速かつ正確な対応に不可欠です。
コンプライアンス要件への対応 特定の業界規制(金融、医療など)や、個人情報保護法、内部統制(J-SOXなど)では、特定の操作ログの記録・保管が義務付けられている場合があります。監査ログは、これらの法的・規制要件を満たす上で必須の要素です。
内部不正の抑止と早期発見 ユーザーや管理者が「自分たちの操作は記録されている」と認識することで、内部不正やルール違反に対する心理的な抑止効果が期待できます。また、不審な操作を定期的にレビューすることで、問題が大きくなる前兆を掴むことにも繋がります。
システムトラブルの原因究明 「昨日まで動いていたシステムが急に動かなくなった」といった場合に、監査ログを確認することで、直前に行われた設定変更などが原因でないか、トラブルシューティングの手がかりを得られます。
このように、監査ログは単なる記録ではなく、組織のセキュリティ、コンプライアンス、そして安定したシステム運用を支えるための重要な基盤なのです。
関連記事:
セキュリティインシデントが発生するとどうなるか?影響範囲を徹底解説、対策不備が招く事業存続の危機とは
Google Workspaceでは、ユーザーや管理者の様々なアクティビティに関する監査ログが収集・記録されています。ここでは、代表的なログの種類とその内容例をご紹介します。
|
ログの種類 |
主に確認できることの例 |
|
ログイン監査ログ |
ユーザーのログイン成功・失敗、認証方法(パスワード、2段階認証等)、ログイン元のIPアドレス、使用デバイス・ブラウザ |
|
管理者監査ログ |
管理コンソール内で行われた各種設定変更(ユーザー作成・削除、ポリシー変更、ライセンス割当など)、変更を実行した管理者、日時 |
|
ドライブ監査ログ |
ファイルの作成、閲覧、編集、ダウンロード、削除、共有設定の変更(誰に、どの権限で共有したか)、リンク共有設定の変更 |
|
Meet監査ログ |
会議の開始・終了、開催者、参加者リスト(外部参加者含む)、会議の録画開始・停止 |
|
カレンダー監査ログ |
予定の作成・変更・削除、カレンダーの共有設定変更、会議室などのリソース予約 |
|
Chat監査ログ |
メッセージの投稿・編集・削除、スペースへのユーザー追加・削除 |
それでは、実際に監査ログはどこで確認できるのでしょうか? Google管理コンソールでの基本的な手順を見ていきましょう。
まず重要な点として、監査ログの確認は、Google Workspaceの特権管理者、または監査ログ閲覧に関する特定の管理者ロールが付与されたアカウントのみ可能です。一般のユーザーは閲覧できません。
Google管理コンソールにログイン: ウェブブラウザで admin.google.com にアクセスし、管理者権限を持つアカウントでログインします。
監査ログ画面へ移動: ログイン後、左側のナビゲーションメニューから [レポート] > [監査と調査] > [(目的の)ログイベント] を選択します。例えば、ドライブのログを見たい場合は [ドライブのログイベント] をクリックします。
監査ログの画面が表示されたら、次は目的の情報を見つけるための操作です。
多くの場合、ログは膨大な量になります。そこで重要になるのが「フィルタリング」機能です。画面上部にある [フィルタを追加] をクリックし、特定の条件でログを絞り込むことで、必要な情報だけを効率的に見つけ出します。
ユーザー: 特定のユーザーの操作ログだけを表示したい場合。
日付: 特定の日時範囲を指定。
イベント: 特定の操作(例: ファイルのダウンロード、パスワードの変更)に絞り込みたい場合。
その他: ログの種類によっては、IPアドレス、ファイル名、ドキュメントIDなどでフィルタリングできます。
フィルタリングされたログのリストが表示されます。各行が個別のログエントリです。詳細を確認したい場合は、該当するログの行をクリックすると、より詳しい情報が表示されます。 また、調査結果を報告したり、オフラインで分析したりする場合には、画面上部のエクスポート機能(ダウンロードアイコン)から、表示されているログデータをCSV形式またはGoogle スプレッドシート形式で出力できます。
監査ログを単に「記録されているもの」として放置するのではなく、積極的に活用するためのポイントと、知っておくべき注意点を解説します。
Google Workspaceの監査ログは、永久に保存されるわけではありません。多くのログは6ヶ月(180日)が標準的な保持期間です。この期間を過ぎたログは自動的に削除されてしまいます。
金融業界の規制や企業の内部統制ポリシーなどで、より長期間のログ保管が求められる場合は、定期的にログをエクスポートして別途保管するか、Google Cloud (旧GCP) のCloud Storageへログを自動エクスポートする設定、またはサードパーティのログ管理ツール(SIEMなど)との連携を検討する必要があります。
関連記事:
【基本編】Google Cloudとは? DX推進の基盤となる基本をわかりやすく解説
Cloud Storage(GCS) とは?Google Cloud のオブジェクトストレージ入門 - メリット・料金・用途をわかりやすく解説
基本的に多くの重要な操作は記録されますが、ユーザーが行う全てのクリック操作などが記録されるわけではありません。特定の操作がログ対象かどうかは、Google Workspaceの公式ヘルプドキュメントで確認することをおすすめします。
全てのログを毎日見るのは現実的ではありません。しかし、特に重要なログ(例: 管理者アクティビティ、ログイン失敗が多発しているユーザー、機密情報へのアクセスログなど)については、週に1回、月に1回など、定期的にレビューする体制を組むことで、異常の早期発見につながります。
問題が起きてから調査する「受け身」の活用だけでなく、特定のリスクが高いイベントが発生した際に管理者に通知を送る「能動的」なアプローチが極めて重要です。これを実現するのがアラートセンター機能です。
例えば、以下のようなイベントに対してアラートを設定しておくことで、インシデントの予兆を迅速に察知し、対応を開始できます。
特権管理者ロールが他のユーザーに付与された
不審なログインが検出された(海外からのアクセスなど)
機密データを含む可能性のあるファイルが外部共有された
ユーザーによるパスワードのエクスポート
これらのアラートを適切に設定・運用することが、セキュリティレベルを大きく向上させます。
基本的な監査ログの確認に慣れたら、次は組織の要件に合わせたより高度な活用を検討しましょう。
ログを個別に確認するだけでなく、複数のログを組み合わせて分析したり、ログの傾向(特定の時間帯にアクセスが集中するなど)を把握したりすることで、より深い洞察や潜在的なセキュリティリスクの発見に繋がります。 これを高度に実現するのがSIEM (Security Information and Event Management) との連携です。Google WorkspaceのログをSIEM製品に取り込むことで、他のシステムのログと相関分析を行い、組織全体の脅威を統合的に可視化・分析する基盤を構築できます。
Google Workspaceは、契約するエディションによって利用できる監査機能やセキュリティ機能が異なります。特に、より高度な監査や統制を求める場合、Enterpriseエディションで提供される機能が重要になります。自社のセキュリティ要件と、プランごとの機能差を正しく理解し、最適なライセンスを選択することがコストパフォーマンスの観点からも重要です。
Google Workspaceの監査ログは、組織のセキュリティとガバナンスを支える上で非常に重要な機能ですが、その設定や運用、そしてインシデント発生時の効果的な活用には、専門的な知識と経験が求められます。
「どのログを、どのくらいの頻度で、どのようにチェックすれば効果的なのか?」 「自社のコンプライアンス要件を満たすには、ログをどう管理すればよいのか?」 「アラート設定を最適化して、重要なインシデントを見逃さないようにしたい」 「監査ログを他のセキュリティシステム(SIEMなど)と連携させて、より高度な脅威検知を実現したい」
このような課題やお悩みをお持ちではないでしょうか?
私たちXIMIXは、Google CloudおよびGoogle Workspaceのプレミアパートナーとして、数多くの企業様のセキュリティ運用をご支援してきた実績に基づき、監査ログの活用を含む、お客様のセキュリティおよびガバナンス強化を包括的にご支援します。 Google Workspaceのセキュリティ診断から、監査ログのモニタリング体制構築、セキュリティポリシーやインシデントレスポンス計画の策定支援、そしてSIEM連携による統合ログ管理基盤の構築まで、お客様の状況とニーズに合わせた最適なソリューションをご提案・導入いたします。
貴社のGoogle Workspace環境を、より安全・安心なものにするためのお手伝いをさせていただきます。
XIMIXのGoogle Workspace 導入支援についてはこちらをご覧ください。
XIMIXのGoogle Cloud 導入支援についてはこちらをご覧ください。
※Google Workspace については、こちらのコラム記事もご参照ください。
Google Workspaceの監査ログは、「いつ、誰が、何をしたか」を記録する、組織の活動の重要な証跡です。このログを理解し活用することは、セキュリティインシデントへの対応、コンプライアンス遵守、そして健全なITガバナンス体制の構築に不可欠です。
まずは、この記事でご紹介した基本的な確認方法をマスターし、管理コンソールからログインログや管理者ログなど、自社にとって重要と思われるログを定期的に確認することから始めてみてください。
そして、監査ログの重要性を理解し、アラート設定なども活用しながら、組織としてログを監視・活用する体制を検討していくことが、Google Workspaceを安全かつ効果的に利用し続けるための鍵となります。
より高度なログ活用や、セキュリティ体制全体の強化についてお考えの際は、ぜひ専門家であるXIMIXにご相談ください。