こんにちは G-gen の渡邉@norry です。
Goole Workspace を運用する際に管理者が特に気になる事の一つとして、セキュリティー関連のレポートや監査ログがあるかと思います。
常日頃のガバナンス管理、有事の際での証跡として...今回は Google Workspace でどういったログが取れるのかのご案内と、プランによっては取得出来ないログもありますのでその点にも触れます。
Google Workspace の機能比較やプラン一覧はこちらをご覧ください。
レポート
レポートの表示方法
Google Workspace 管理コンソールにて「レポート > レポート」を選択することで各種レポートを表示することができます。
レポートではグラフやチャート、表を用いてアプレケーションやアカウント情報などを閲覧者に対し、どういう状況にあるかを視覚的に分かりやすく表示します。
レポートの種類
管理コンソールから確認可能なレポートの種類は以下のようなものがあります。
| レポート | 内容 |
|---|---|
| 重要ポイント レポート | 組織の主な指標と傾向の概要を確認できます。サービスの使用状況、ドキュメント公開設定、保存容量、ファイル共有アクティビティ、基本的なセキュリティ指標などが含まれます。 |
| 組織全体のアプリレポート | ドメイン内のすべてのユーザーと管理者に関するチャートとグラフを閲覧できます。組織全体の傾向と管理情報の概要も含まれます。 |
| ユーザー レポート: アカウント | セキュリティとアプリの使用状況に関するアクティビティ情報の重要ポイントがマスター レポートとして示されます。 |
| ユーザー レポート: アプリの使用状況 | 組織での Gmail とドライブの使用状況が示されます。メール アクティビティの種類、作成および共有されたドキュメントの数、各チームメンバーによるドライブ ストレージの使用容量などが含まれます。 |
| ユーザー レポート: セキュリティ | ドメイン全体でのデータ漏洩リスクを評価できます。また、チームの 2 段階認証プロセスの使用状況、モバイル デバイスにサードパーティ製アプリをインストールしているユーザー、ドメイン外のユーザーとのドキュメント共有状況などを確認できます。 |
| 監査ログ | 管理者のアクティビティ、モバイル アクティビティなど、特定のイベントに関する情報を入手できます。 |
監査ログ
監査ログの表示
Google Workspace 管理コンソールにて「レポート > 監査」を選択することで各種レポートを表示することができます。
監査ログには 「誰が」 「いつ」 「何に対して」 「どのような操作」 を行ったかが記録されます。
例えば 管理者の監査ログ では、Google 管理コンソールで行われた操作の記録を確認できます。管理者がユーザーを追加した日時や Google Workspace サービスを有効にした日時などですね。
また、Google Drive であれば下図のようにどの種類のファイルをいつ誰が操作したのか分かるようになっています。
先のレポートの項目ではビジュアル的にどの程度かを把握するのに適しており、監査ログではより詳細な内容について把握する事が可能です。
Google Workspace で利用可能な監査ログ
Google Workspace で利用可能な監査ログはこちら になります。代表的な物として以下のようなものがあります。
- 管理者の監査ログ
- ログインの監査ログ
- デバイス監査ログ
- メールログ検索
- Google Chat の監査ログ
- Google Meet の監査ログ
プラン別の違い
Google Workspace プラン別項目一覧
どのプランでどういったレポートや監査ログが取得出来るのかを一覧にしてみました。
| Frontline | Business Starter | Business Standard | Business Plus | Enterprise Essentials | Enterprise Standard | Enterprise Plus | |
|---|---|---|---|---|---|---|---|
| アプリとユーザーのレポート | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 監査ログ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| ドライブ監査 | ✔ | ✔ | ✔ | ✔ | ✔ | ||
| Meet の出席レポート | ✔ | ✔ | ✔ | ✔ | |||
| BigQuery へのエクスポート | ✔ | ✔ | |||||
| アクセス透明性ログ | ✔ | ||||||
| インサイト レポート | ✔ |
大きな違いとしてプランの中に ドライブ が含まれるか?がポイントになります。
Business Starter 及び Enterprise Essentials にはドライブ (共有ドライブ) が含まれていません。
従って監査ログにもドライブの項目が存在せず、レポートとしては表示が可能ですが詳細な操作ログを閲覧するには適していない為、ドライブの操作ログを取得したい場合には Business Standard 、Enterprise Standard 以上のプランをおすすめします。
アクセス透明性のログは社内のデータに Google のスタッフがアクセスしたときの操作情報を把握することができるとあり、インサイトレポートではダッシュボードを作成し組織での Google Workspace の使用に関する詳細な指標を得ることができます。
特に Enterprise 環境において必要になる場合があるでしょう。
ログ出力のタイムラグ
Google Workspace のログには保持期間とレポートやログに反映されるまでのタイムラグがあります。
詳しくはこちらを見ていただければと思いますが、大まかに下記のようになります。
| 項目 | 期間 | 備考 |
|---|---|---|
| レポート | 1~3 日 | |
| 監査ログ | ほぼリアルタイム(数分以内) | 項目によっては1~3 日 |
| データの保持期間 | 6ヶ月 | 項目によっては12 か月 |
アカウントログやドライブの操作ログなど一般的に即時性が求められるようなログに関してはほぼリアルタイムに反映されます。
保持期限
データの保持期間が 6ヶ月の為、特に監査ログなど6ヶ月以上保持する必要がある場合にはエクスポートする等の対応が必要になります。
後述しますが、ログを参照するための API をGoogle では提供していますので、リアルタイムにログを検知、通知を行う機能を利用者側で実装も可能となっています。
ログのエクスポート
エクスポートについて
前項でデータの保持期間が6ヶ月 (項目によっては12ヶ月) と述べました。
ではそれ以上の期間のログを取得したい場合にどうするか?大きく別けて以下の3パターンになります。
- スプレッドシート、CSV へエクスポート
- BigQuery へエクスポート
- Reports API を利用したログ取得
スプレッドシート、CSV へエクスポート
Google Workspace 管理コンソール > レポート > レポート > アプリレポート の各項目より、スプレッドシートまたは CSV でダウンロードする事が可能です。
例としてアプリレポート > アカウント の「2 段階認証プロセスの登録と適用」に遷移し画面右上にあるダウンロードアイコンを押下します。
スプレッドシートまたは CSV でのダウンロードが確認できます。
実際にダウンロードしたスプレッドシートは以下のようになります。
注意点として、一度にダウンロード可能なレコード数は 100,000行 という制限が存在するため、制限を超えて取得する為には BigQuery Export を利用するといった対応も必要になります。
BigQuery へのエクスポート
Google Workspace 管理コンソール > レポート > BigQuery Export から Google Cloud (GCP) の BigQuery へ出力する事が可能です。分析用データベースに出力する事により SQL を利用した抽出が行えます。
BigQuery へのエクスポートでは次のようなデータを利用可能です。
- 使用状況レポート - ライセンスの有無にかかわらずドメイン内のすべてのユーザー(使用状況テーブル)。
- 監査ログ - Google Workspace Enterprise を利用している組織は、ドライブとモバイルの監査ログを書き出すことができます。管理者、Google カレンダー、Google グループなどのその他のログについては、すべてのユーザー(全エディション)のデータが BigQuery に書き出されます。
ただし BigQuery のエクスポートを利用する為には Google Workspace の Enterpriseエディション、もしくはEducation Standard / Plusエディション の契約が必要になりますのでご注意ください。
Google Workspace の管理者ヘルプには SQL の抽出クエリの例、例えば以下のように「Gmail の 30 日間のアクティブ ユーザー数に対する 1 日あたりのアクティブ ユーザー数の割合」の取得方法等も示されています。
BigQuery にエクスポートされる内容は多岐にわたる為、一度目を通してどのような抽出が出来るのかを把握しておくことをおすすめいたします。
#1 日あたりのアクティブ ユーザー SELECT date, gmail.num_1day_active_users FROM api_project_name.dataset_name.usage WHERE gmail.num_1day_active_users > 0 ORDER BY 1 DESC; # 7 日間のアクティブ ユーザー SELECT date, gmail.num_7day_active_users FROM api_project_name.dataset_name.usage WHERE gmail.num_7day_active_users > 0 ORDER BY 1 DESC; # 30 日間のアクティブ ユーザー SELECT date, gmail.num_30day_active_users FROM api_project_name.dataset_name.usage WHERE gmail.num_30day_active_users > 0 ORDER BY 1 DESC;
抽出例について知りたい方は コチラ を参考にしてみてください。
Reports API を利用したログ取得
Google Workspace には Google Workspace Admin SDK (ソフトウェア開発キット) が用意されています。 Google Workspace の Reports API を利用して手組みで実装する事も可能ですが、監査ログの仕様は幅が広く少し敷居が高いと言えます。ご興味があられる方は Reports API に関するドキュメント コチラ をご参照ください。
アラート
アラートの設定は Google Workspace 管理コンソールの「ルール」から行えます。
Google Workspace の管理者は「ルール」作成する事により、特定の条件下においてユーザーにメール通知が可能です。
作成可能なルールの主な種類は以下になります。
- アクティビティ - ドメイン内のアクティビティに応じた操作
- データの保護 - ドメイン内のドライブ ファイルの使用に関連する特定のアクティビティが発生したときに通知
- レポート - 組織の監査ログに基づいてカスタム アラートを作成、管理
例えば監査ログのイベントに基づいてアラート設定する場合には、管理コンソール > ルール > ルールを作成 を押下し レポート を選択します。
監査ログに遷移しますので +フィルタを追加 > 「イベント」 を選択し、検索欄に通知を行いたいイベントを入力し、適用します。今回は ドライブの設定の変更 を適用しました。
画面右上のベルのマークを押下します。
ルールの名前、受信者 (アラートセンター、特権管理者、追加の宛先)を選択、作成して完了となります。
作成したルールは、管理コンソール > ルール の一覧の中に表示されます。
渡邉 宣之 (記事一覧)
クラウドソリューション部
データ分析基盤の構築、クラウド管理運用やネットワークが守備範囲、Google Workspace 活用推進中、Google Cloud 認定資格は4資格保持
週末フォトグラファーで、観葉植物や塊根植物にハマってます。
