Google Workspaceには、GmailやGoogleドライブ、Google Meetといった数多くのアプリが搭載されており、設定する内容が複雑になったり、利用するユーザーが大幅に増えたりするケースも珍しくありません。このような環境下でセキュリティ体制が甘ければ、不正アクセスや内部不正、シャドーITなどのリスクが高まり、重大なトラブルに発展する恐れがあります。
このような事態を防ぐには、定期的に監査ログを確認することが重要です。Google Workspaceの管理コンソールでは、設定変更や操作履歴、ログインなどに関するさまざまなログを確認できるため、セキュリティリスクの兆候を見逃さずに済みます。
本記事では、Google Workspaceにおける監査ログの仕組みや役割、取得できるログの種類などを解説します。ログの確認方法や活用例、取得時の注意点といった具体的な内容も紹介しているので、ぜひ参考にしてください。
Google Workspaceの監査ログとはシステム内のアクティビティを記録したデータ
まずは、Google Workspaceにおける監査ログの概要や重要性について詳しく解説します。基礎知識を理解することで、セキュリティ向上やコンプライアンス強化に監査ログの仕組みを活かしやすくなるでしょう。
Google Workspaceの監査ログの概要
Google Workspaceの監査ログとは、組織内のユーザーが行ったさまざまな操作や、システム上で発生したイベントを詳細に記録したデータのことです。このログを確認することで、「誰が・いつ・何を・どこで(どのIPアドレスから)実行したのか」を正確に追跡できます。
監査ログは、Google Workspaceの管理コンソールから確認が可能です。Google Workspace上のすべてのアクティビティを記録する「管理者の監査ログ」だけでなく、契約エディションによってはGoogleドライブ・Google Meetといったアプリ別の監査ログや、端末ごとの監査ログなども取得できます。
Google Workspaceにおける監査ログの重要性
Google Workspaceにおける監査ログは、組織のセキュリティとコンプライアンスを維持するために極めて重要だといえます。なぜなら、監査ログはクラウド上でのあらゆる活動を可視化し、潜在的なリスクを早期に発見・対処するための基盤となるためです。
最も重要な役割は、情報漏えいや不正アクセスの防止と迅速な対応です。「誰が・いつ・どのデータにアクセスし、どのような操作を行ったか」が正確に記録されるため、万が一インシデントが発生した際にも、被害状況の把握や原因究明を迅速に行えます。さらに、社内ルールの遵守状況を監視し、従業員の不正行為に対する抑止力としても機能します。
監査ログを定期的に分析することで、組織全体のセキュリティレベルの継続的な向上が可能です。
Google Workspace管理コンソールで取得できる監査ログの種類
Google Workspaceの管理コンソールでは、次のような監査ログを取得できます。
- 管理者の監査ログ
- ログインに関する監査ログ
- グループの監査ログ
- Googleアプリの監査ログ
- ルールに関する監査ログ
- トークンの監査ログ
- SAMLの監査ログ
それぞれの特徴や取得可能なデータの詳細などを詳しく解説します。
管理者の監査ログ
管理者監査ログは、Google Workspaceの管理コンソール上で行われたすべての設定変更や操作履歴を記録する重要なログです。
【記録される情報】
- ユーザーアカウントの作成や削除
- パスワードの変更
- 組織・グループに関する設定変更
- Googleアプリの有効化や無効化
- セキュリティ設定の変更
このようなログを監視することで、管理者アカウントの不正利用や、誤った設定によるシステムへの影響を早期に発見できます。複数の管理者がいる組織では、「誰が・いつ・どのような変更を加えたのか」を正確に追跡できるため、ガバナンスの強化や迅速なトラブルシューティングを行ううえで非常に重要な情報源として機能するでしょう。
ログインに関する監査ログ
ログイン監査ログは、組織内のユーザーがGoogle Workspaceアカウントにログインまたはログアウトした際の詳細なイベントを記録するログです。
【記録される情報】
- ログイン・ログアウトの履歴
- パスワード間違いなどのログイン失敗履歴
- 不審なログイン
- 2段階認証の状況
各イベントには、ユーザーのIPアドレスや使用されたデバイス・Webブラウザ、正確な日時が含まれます。これらのログを分析することで、外部からの不正アクセスやアカウントの乗っ取り、パスワードへの総当たり攻撃などをいち早く検知し、被害を未然に防ぐための迅速かつ効果的なセキュリティ対策が可能です。
グループの監査ログ
グループの監査ログは、組織・グループに関するあらゆる変更履歴を記録するログです。
【記録される情報】
- 新しいグループの作成や削除
- メンバーの追加や削除
- 役割の変更
- グループ設定の更新
Google Workspaceのグループ機能は、共有ドライブや特定のサービスへのアクセス権を制御するためにも頻繁に利用されます。そのため、グループのログを監視することで、意図しないアクセス権の付与や、外部ユーザーの不正な追加などをいち早く検知し、組織のデータへの適切なアクセス制御を維持できます。
Googleアプリの監査ログ
Googleアプリの監査ログは、Google Workspaceの各コアアプリ(Googleドライブ、Google Meet、Googleチャット、Googleカレンダー)におけるユーザーの活動履歴を詳細に記録するログです。
| アプリ名 | 記録される情報 |
| Googleドライブ | ・ファイルの作成・閲覧・編集・ダウンロード ・外部への共有権限の付与 |
| Google Meet | ・会議の開催日時 ・参加者の入退室記録 ・録画の有無 |
| Googleチャット | ・メッセージの送信 ・ファイルの添付 ・スペースの作成・変更 |
| Googleカレンダー | ・予定の作成・変更 ・カレンダーの共有設定 ・リソースの予約状況 |
このようなログを総合的に分析することで、組織内のコラボレーション状況を可視化し、セキュリティインシデント発生時の迅速な原因究明や影響範囲の特定、コンプライアンス要件の遵守が可能になります。
ルールに関する監査ログ
ルールに関する監査ログは、Google Workspaceのセキュリティルールの適用状況や変更履歴などを記録するログです。
【記録される情報】
- 管理者が新しくデータ保護のルールを作成・変更・削除した日時
- セキュリティルールの条件に一致してアラートがトリガーされたイベント
- データ損失防止(DLP)ルールに対する設定変更や実行履歴
ルールに関するログは、組織のセキュリティポリシーが適切に運用・維持されているかを監視する際に役立ちます。そのほか、悪意のある管理者や不正アクセス者がセキュリティルールを無効化・改ざんするといった、内部脅威からシステムを保護するためにも活用が可能です。
トークンの監査ログ
トークンの監査ログでは、組織内のユーザーがサードパーティ製アプリに対して、Google Workspaceのデータへのアクセスを許可した際のOAuth 2.0トークンに関するアクションを記録します。アプリケーションへのアクセス許可やトークンの取り消しなどが対象です。
主な活用方法としては、シャドーITへの対策があげられます。ユーザーが業務に無関係なアプリや、セキュリティリスクの高い悪意あるアプリに権限を付与していないかを把握することで、危険なアクセス権を管理者が強制的に取り消すといった適切な対応につながります。
SAMLの監査ログ
SAMLの監査ログは、Google WorkspaceをSAML(Security Assertion Markup Language)のIDプロバイダとして利用し、ほかのクラウドサービスにシングルサインオン(SSO)でログインした際の認証履歴を記録するログです。SSOの成功や失敗、およびSAMLレスポンスの詳細などが記録されます。
このようなログを分析することで、組織で利用している外部のSAML対応アプリへのアクセス状況を可視化できます。また、予期しないサービスへの不正なログイン試行や、設定エラーによる認証の失敗などを迅速に特定できるため、SSO環境の安全性と利便性を確保するためにも効果的です。
Google Workspaceの監査ログの確認方法
Google Workspaceで監査ログを確認する手順は次の通りです。
- Google Workspaceの管理コンソールにログイン
- 左側のメニューバーから[レポート > 監査と調査]をクリック
- 確認したい監査ログの種別を選択
これで画面上に関連するデータの一覧が表示されます。また、フィルタ機能を活用すれば、イベント名やイベントタイプ、ユーザー名、日付などの条件を設定して必要なデータを絞り込めます。
Google Workspaceの管理コンソールの導入方法や使い方については、こちらの記事で詳しく解説しています。事前に有償サービスであるGoogle Workspaceへの契約が必要です。
Google Workspaceの監査ログの活用例5選
Google Workspaceで取得した監査ログは、不正アクセス対策や社内コンプライアンスの維持・強化など、さまざまな場面で活用できます。ここでは、Google Workspaceの監査ログの具体的な活用例を紹介します。
不正アクセス対策
ログインに関する監査ログやSAMLの監査ログを利用することで、不正アクセス対策が可能です。例えば、普段アクセスがない国や地域からのログインや、ブルートフォース(総当たり)攻撃が疑われる異常なログインがないかを監視できます。また、万が一アカウントが不正アクセスを受けた場合でも、「どのIPアドレスからログインされたか」「その後どのシステム(SAML連携先など)にアクセスしようとしたか」を追跡することで、迅速な被害範囲の特定につながります。
内部不正の抑制とコンプライアンス強化
Googleアプリの監査ログを取得することで、内部不正の抑制や社内コンプライアンスの維持・強化に役立ちます。退職が予定されているユーザーが、直近数週間でGoogleドライブから大量のファイルをダウンロードしたり、個人のGmailアドレスにファイルを共有したりしていないかを監視することで、データの持ち出しを防げます。
また、「社外秘」などのラベルがついた機密ファイルが、誤って、あるいは意図的に「リンクを知っている全員」に公開されていないか、許可されていない外部ドメインに共有されていないかを定期的にチェックすることも重要です。情報漏えいの疑いがある場合には、特定の添付ファイルや機密キーワードを含むメールが誰に送信されたかを追跡調査し、事後対応の証拠として活用できます。
シャドーIT対策
トークンの監査ログはシャドーIT対策として有効です。シャドーITとは、従業員が管理者の許可なく私物の端末や、クラウドサービス・アプリケーションなどを業務で利用する行為を指します。
具体的には、ユーザーがGoogleアカウントを使って、許可を得ていないサードパーティ製アプリにログインし、Googleドライブや連絡先へのアクセス権限を付与していないかを監視して、未承認アプリの利用状況を把握します。もし悪意のあるアプリに権限が付与されたことを検知した場合は、管理コンソールから即座にそのトークンを取り消すことで、不正アクセスの被害を未然に防げます。
運用サポート・トラブルシューティング
管理者の監査ログやグループの監査ログは、日常の運用サポートやトラブルシューティングに不可欠です。
例えば、ユーザーから「共有ドライブのファイルがなくなった」と問い合わせがあった際、監査ログを検索して「誰が・いつそのファイルを削除、または移動したのか」を特定することで、迅速に復元へとつなげられます。また、複数人で管理業務を行っている環境では、「誰が・いつ特定のセキュリティ設定を変更したのか」や「誰がメーリングリストに社外メンバーを追加したのか」といった管理者自身の操作履歴を追跡し、設定ミスの原因究明にも役立てられます。
ライセンスコストの最適化
ユーザー個別の使用状況に関するログやログインに関する監査ログを組み合わせると、ライセンスコストの最適化に効果を発揮します。具体的には、過去3ヶ月から半年の間に一度もログインしていないアカウントや、Gmail・Googleドライブなどのアプリを利用していない休眠アカウントを棚卸ししてリストアップします。これらの不要なアカウントを削除したり、アーカイブユーザーに切り替えたりすることで、余計なライセンスコストを効果的に削減できます。
Google Workspaceの監査ログを取得する際の2つの注意点
Google Workspaceの監査ログを取得する際は、次のポイントに注意が必要です。
- ログの保持期間が定められている
- ログ反映までに時間がかかることがある
それぞれの注意点について詳しく解説します。
ログの保持期間が定められている
Google Workspaceの監査ログは永続的に保存されるわけではありません。ログの種類によって異なるが、ほとんどのものは保持期間が最大6ヶ月(180日)に設定されています。この期間を過ぎたデータは自動的に消去され復元はできません。
そのため、社内規定やコンプライアンス要件で長期間のログ保存が義務付けられている場合、標準機能だけでは要件を満たせなくなります。過去のインシデント調査で重要な証拠を失わないためには、定期的にログをエクスポートして長期保存する仕組みが不可欠です。
ログ反映までに時間がかかることがある
セキュリティ運用において見落としがちなのが、監査ログの遅延に関する仕様です。ユーザーがGoogle Workspace上で何らかの操作を行った後、そのイベントが監査ログとして管理コンソールやAPI経由で取得可能になるまでには、一定のタイムラグが発生します。多くの場合、数分から数十分程度で反映されますが、システム負荷の状況やログの種類によっては、反映までに数時間から最大で数日程度かかるケースも存在します。
そのため、不正アクセスの試行や不審なデータ持ち出しなど、一刻を争う重大なセキュリティインシデントに対して、ログ監視のみによる完全なリアルタイム検知と即時対応を期待するのは現実的とはいえません。このような仕様の限界を理解したうえで、ログ監視だけでなく複数のセキュリティ製品を組み合わせた運用設計が求められます。
Google Workspaceで効果的なログ監査を行うための2つのポイント
Google Workspaceで効果的なログ監査を行うためには、次のようなポイントを押さえることが重要です。
- 取得対象ログの選定とアクセス権限の適切な管理
- アラート機能を活用した能動的なインシデント検知
それぞれの要点について詳しく解説します。
取得対象ログの選定とアクセス権限の適切な管理
Google Workspaceの管理コンソールでは、ユーザーのログイン履歴やGoogleドライブでのファイル操作内容、管理コンソールでの設定変更履歴など、多岐にわたるアクティビティが記録されます。情報漏えい対策やコンプライアンス強化といった目的を達成するには、自社にとって「どのアプリの、どの操作ログが必要か」を事前に明確にしておく必要があります。
また、これらの重要なログを取得・閲覧するためには、特権管理者権限、または「監査と調査」の権限を持つカスタム管理者ロールが必要です。不要な担当者にまで権限を与えると、かえってプライバシー侵害や内部脅威のリスクを高めることになるため、アカウントに対して必要最小限の権限(最小権限の原則)を付与し、厳格なアクセス管理を実施することが重要です。
アラート機能を活用した能動的なインシデント検知
ログの目視確認には限界があり、重大なインシデントの発見が遅れるリスクがあるため、監査ログを単に蓄積・監視するだけでなくアラート機能を活用するのも良いでしょう。これにより、セキュリティリスクの高い特定のイベントが発生した際に、管理者へ即座にメールで通知が届きます。
Google Workspaceの管理コンソールでは、以下の手順でアラートの設定が可能です。
- 管理コンソールのメニューバーから[ルール]をクリック
- [ルールを作成 > レポート]を選択
- [フィルタを追加 > イベント]をクリックし、通知するイベントの種類を入力
- 画面右上のベルのアイコンをクリック
- ルールの名称や送信条件などのレポートルールを作成
例えば、「ドライブの設定の変更」というイベントを条件として指定すると、Googleドライブの設定が変更されたタイミングで通知が届くようになります。アラートの検知条件を自社のセキュリティポリシーに合わせて適切にチューニングすることで、運用負荷を下げつつ効果を最大限に高められるでしょう。
Google Workspaceの監査ログをエクスポートする方法
Google Workspaceでは監査ログの保持期間が定められているため、「重要なログが失われた」といった事態を避けるためにも、定期的にデータをエクスポートすることをおすすめします。以下の通り、監査ログをエクスポートする手段は複数存在します。
GoogleスプレッドシートやCSVファイルへのエクスポート
Google Workspaceの管理コンソールには、監査ログのデータをGoogleスプレッドシートやCSVファイルにエクスポートする機能が用意されています。手順は次の通りです。
- 管理コンソールのメニューバーから[レポート > 監査ログ]をクリックし、ログをエクスポートしたいアプリを選択
- 画面右側の下矢印(ダウンロード)のアイコンをクリック
- 列とファイル形式を選択して[ダウンロード]をクリック
ユーザーやグループ、アクティビティなどでフィルタリング後にエクスポートすることも可能です。一度にエクスポートできるデータは最大10万行となっています。
Reports APIを用いたエクスポート
Google Workspace Admin SDK(ソフトウェア開発キット)のReports APIを利用すると、監査ログをエクスポートする独自プログラムを実装できます。3種類の手法のなかで最も柔軟性が高く、自社データベースをはじめとする任意の宛先にもデータ送信が可能です。
BigQueryへのエクスポート
ログの長期保存やSQLを用いた高度な分析、またはLooker Studioでデータを可視化する場合には、監査ログをBigQueryにエクスポートするのがおすすめです。BigQuery APIやBigQuery Exportの機能を有効化し、プロジェクトID・データセット指定といった設定を済ませることで、自動でエクスポート作業が実行されます。
ただし、この機能を利用するには、Google WorkspaceのEnterpriseをはじめとする上位エディションへの契約が必須です。また、BigQueryのストレージおよびクエリ処理に対する従量課金が発生する点にも注意する必要があります。
監査ログを定期的に点検してGoogle Workspaceの安全性を高めよう
Google Workspaceでは、管理コンソールにアクセスすることで、設定変更や操作履歴、ログインなどに関するさまざまな監査ログを確認できます。このようなログを定期的に点検することで、「異常なログインがないか」「意図的に機密ファイルが外部に送信されていないか」といった情報を即座に把握できるようになり、セキュリティの向上やコンプライアンスの強化につながります。
Google Workspaceには、ログ監査のほかにも、エンドポイント管理やGoogle Vault、DLP、セキュアLDAPなど、さまざまなセキュリティ機能が搭載されています。ログ監査だけでは一刻を争う重大なセキュリティインシデントに対応できない可能性もあるため、複数のセキュリティ機能を組み合わせてGoogle Workspaceの安全性を確保することが重要です。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。GmailやGoogleドライブといった個別のサービスはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。「Googleサービスを活用したいが具体的なイメージが湧かない」といったお悩みを抱える方は、ぜひ電算システムへと気軽にお問い合わせください。
- カテゴリ:
- Google Workspace
- キーワード:
- Google Workspace 監査ログ




