Google Workspace のエディションによっては、より高度な機能を備えたセキュリティ調査ツールを利用できる場合があります。たとえば、特権管理者がセキュリティとプライバシーに関する問題を特定し、優先順位を付けて対処することなどが可能になります。詳細
組織の管理者は、ドライブのログイベントを検索し、対応できます。たとえば、ドライブ内の組織のユーザー アクティビティで、アクションの記録を確認できます。Google ドライブのログイベントには、ユーザーが Google Workspace アプリ(Google ドキュメント、スプレッドシート、スライドなど)で作成したコンテンツのほか、ユーザーがドライブにアップロードしたコンテンツ(PDF や Microsoft Word ファイルなど)が記録されます。Activity API を使用すると、基本的なレポートデータにアクセスできます。新しい Reports API(ご利用の Google Workspace エディションでサポートされている場合)を使用して、Google Workspace の詳細なレポートデータにアクセスできます。
重要:
- ドライブ内のアクティビティがすべてログに記録されるわけではありません。ログに表示されるデータの一覧については、このページのログに記録されたイベントと記録されていないイベントをご覧ください。
- データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。
- ドライブの監査イベントの多くは、サポート対象エディションのユーザーがオーナーになっているファイルについてのみ記録されます。例外は [URL へのアクセスあり] イベントです。このイベントは、URL にアクセスする Apps Script スクリプトを開始したユーザーが組織に属しており、かつサポート対象のエディションを使用している場合にログに記録されます。
- ログイベントの検索を実行する
- 属性の説明
- ドメイン外で共有されているファイルを表示する
- ログに記録されるイベントと記録されないイベント
- ログイベント データを管理する
- 検索結果に基づいて対応する
- 調査を管理する
ログイベントを検索する
検索を行えるかどうかは、ご利用の Google Workspace エディション、ご自身の管理者権限、データソースによって異なります。ユーザーに対する検索は、ユーザーが使用している Google Workspace のエディションに関係なく、全ユーザーを対象に行えます。
ログイベントを検索するには、まずデータソースを選択します。次に、検索に使うフィルタを 1 つ以上選択します。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [フィルタを追加] をクリックし、属性を選択します。
- ポップアップ ウィンドウで演算子を選択
値を選択
- (省略可)検索に複数のフィルタを作成するには、この手順を繰り返します。
- (省略可)検索演算子を追加するには、[フィルタを追加] の上で [AND] または [OR] を選択します。
- [検索] をクリックします。
注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。
セキュリティ調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。その後、検索条件ごとにそれぞれ属性、演算子、値を選択します。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [データソース] をクリックし、[ドライブのログイベント] を選択します。
- [条件を追加] をクリックします。
ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。 - [属性] をクリック
属性の一覧については、以下の属性の説明をご覧ください。 - 演算子を選択します。
- 値を入力するか、プルダウン リストから値を選択します。
- (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。 - (省略可)調査を保存するには、保存アイコン
をクリック
注:
- [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
- ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
注:
- 次のリストのすべての属性が、すべてのイベントについて報告されるわけではありません。
- 以下のリストはすべてを網羅しているわけではなく、変更される場合があります。ドライブのログイベントについて詳しくは、Google Workspace Admin SDK のウェブサイトでドライブの監査アクティビティ イベントをご覧ください。
| 属性 | 説明 |
|---|---|
| アクター |
操作を行ったユーザーのメールアドレスユーザーがドメイン外部の人である場合は、匿名で表示されます。ただし、それらのユーザーが、明示的に共有されているドキュメントを個人ユーザーまたは特定のグループのメンバーとして表示、編集した場合は除きます。 注: ユーザーにメインのメールアドレスとエイリアス アドレスの両方がある場合、アイテムの共有などのイベントにエイリアスが使用される場合でも、ログイベント データにはメインのメールアドレスが記録されます。 |
| アクター グループ名 |
アクターのグループ名。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
| アクターの組織部門 | 操作を行った組織部門の名前 |
| API メソッド | サードパーティ製アプリを通じて行われる [ダウンロード] アクションと [アクセスされたアイテムのコンテンツ] アクションで使用される API メソッド(drive.files.export など)。 |
| アプリ ID | 操作を行ったサードパーティ アプリの OAuth クライアント ID |
| アプリ名 | アクションを実行したアプリ |
| 対象 | 監査ログが公開設定の変更に関するものの場合、そのターゲット ドメイン |
| 請求可能 | (Essentials エディションのみ)ユーザーの操作が請求対象のアクティビティかどうか。 |
| 日付 |
イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます) 注: ほとんどのイベントは、完了したときに記録されますが、アップロードのサイズが大きいと、ログの記録に時間がかかることがあります。 |
| ドキュメント ID |
ユーザーの操作に関連するドライブ アイテムの一意の ID(ファイルの URL リンクに含まれる ID)。 注: 「URL へのアクセスあり」イベント、ドキュメント ID とその他のファイル関連フィールド(ドキュメントの種類やオーナーなど)に関する特定の操作についてのみ、この項目が報告されます。詳しくは、URL へのアクセスありをご覧ください。 |
| ドキュメントの種類 | 操作が行われたファイル形式(ドキュメント、スプレッドシート、スライド、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG オーディオ、QuickTime 動画、フォルダ、共有ドライブなど)。 |
| ドメイン* | 操作が行われたドメイン |
| 暗号化あり* | ファイルにクライアントサイド暗号化が適用されているかどうか |
| イベント名 |
表示、名前の変更、作成、編集、印刷、削除、アップロード、ダウンロードなどのイベント ほとんどの操作はすぐにログに記録されますが、ドライブ ビューアでの印刷イベントは、イベントの発生時刻から 12 時間以上遅れることがあります。ドライブによって削除されたファイルやゴミ箱から削除されたファイルは、ログに記録されます。他のイベント(ファイルのアップロードなど)は、完了したときにログに記録されます。 |
| なりすまし |
アプリケーションがドメイン全体の委任を使用して、ユーザーに代わってリクエストを行った。true は、イベントがユーザーに代わって実行されたことを示します。[アクター] でユーザーのメールアドレスを確認したり、[アプリ ID] と [アプリ名] でアプリケーションを特定したりできます。 ドメイン全体の委任の詳細 |
| IP アドレス* |
ユーザーが操作する際に使用したアドレス。ユーザーの物理的な位置を表していることもありますが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。 次のイベントに関連する IP アドレスは記録されません。
|
| 変更後の公開設定の値 | ドキュメントの新しい公開設定 |
| 新しい値* | 変更した設定の新しい値 |
| 新しい値の ID* | ラベル フィールドの新しい値 |
| 変更前の公開設定の値 | ドキュメントの以前の公開設定(アクティビティが公開設定の変更に関するものである場合) |
| 古い値* | 変更した設定の古い値 |
| 古い値の ID* | ラベル フィールドの古い値 |
| オーナー |
ファイルのオーナー。 |
| 以前の公開設定 | ドキュメントの以前の公開設定(公開設定が変更された場合) |
| 受信者* | 受信者のメールアドレス |
| 共有ドライブ ID | ファイルを含む共有ドライブのドライブ ID。ファイルが共有ドライブにない場合、このフィールドには入力されません。 |
| 対象 | アクセス権が変更されたユーザー |
| タイトル | ドキュメントのタイトル |
| 公開設定 | ユーザーの操作に関連するドライブ アイテムの公開設定。 |
| 公開設定の変更 | 操作を行う前のドライブ アイテムの公開設定 |
| ビジター | Google アカウントを使用していないユーザーによる操作の場合は「Yes」。Google ユーザーによる操作の場合は「No」。詳しくは、ビジターとのドキュメント共有についての記事をご確認ください。 |
注: ユーザーの名前を変更すると、以前の名前がクエリ結果に表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
ドメイン外で共有されているファイルを表示する
- 上記のログイベントを検索するの説明に沿って、ログイベントを開きます。
- [フィルタを追加]
- [検索] をクリックします。
外部共有を無効にしている場合に、ユーザーが外部ユーザーの参加を許可しているグループとリソースを共有すると、そのデータは「外部と共有中」と記録されます。ただし、そのグループの外部ユーザーは、共有されているリソースにアクセスすることはできません。このイベントは、そのグループに外部ユーザーが存在しない場合でも表示されます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [データソース] をクリック
- [条件を追加] をクリックします。
- [属性] をクリック
- [次を含む] をクリック
- [公開設定] をクリック
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。
外部共有を無効にしている場合に、ユーザーが外部ユーザーの参加を許可しているグループとリソースを共有すると、そのデータは「外部と共有中」と記録されます。ただし、そのグループの外部ユーザーは、共有されているリソースにアクセスすることはできません。このイベントは、そのグループに外部ユーザーが存在しない場合でも表示されます。
ログに記録されるイベントと記録されないイベント
Google ドライブにより自動削除されたファイルまたはゴミ箱から削除されたファイルは、ログに記録されます。
ファイルをコピーすると、新しいファイルに対して [作成] イベントと [コピー] イベントが、元のファイルに対して [ソースのコピー] イベントがログに記録されます。
組織外のユーザーがファイルを外部の場所にコピーする場合、新しいファイルは外部にあるため、[作成] イベントと [コピー] イベントは記録されません。ただし、ログの元のファイルには [ソースのコピー] イベントがあり、[コピーのタイプ] は [外部] です。データが組織外にコピーされるタイミングをモニタリングするには、[外部] コピータイプが含まれる [ソースのコピー] イベントを確認します。
Google のファイル形式(ドキュメント、スプレッドシート、スライド、図形描画、フォーム)で開いたファイルをユーザーが印刷しても、印刷イベントは記録されません。
iPhone または iPad デバイスまたは Android デバイスのドライブ アプリからファイルを印刷したときは、[印刷] イベントが [ダウンロード] イベントとして記録される場合があります。
パソコン版 Google ドライブを使用してドライブとローカル デバイス間でファイルがコピーされた場合を含め、ほとんどのダウンロードがログに記録されます。
次の表示操作は、ダウンロード イベントとしてログに記録されます。
- モバイル デバイスのドライブ アプリでファイルをプレビューする
- ドキュメントなどの Google アプリでは直接開けないファイル(PDF など)をプレビューする
- Google アプリ(ドキュメントなど)からメールにファイルを添付して送信する
次のダウンロード操作は、ログに記録されません。
- Google データ エクスポートによるダウンロード(代わりにデータ エクスポートのログイベントを検索してください)
- オフラインのブラウザ キャッシュへのダウンロード
- Google フォトに同期された写真、Google フォトからダウンロードした写真、Google フォトを使用して表示した写真
- Gmail から添付ファイルとしてメールで送信されたドライブのアイテム
アイテムのコンテンツの同期イベントは、次の場合にログに記録され、2024 年 7 月 1 日以降のアクティビティに利用できます。
- ファイルはパソコン版ドライブを使用して、ドライブからローカル デバイスに同期されます。これらは [ダウンロード] イベントとしてもログに記録されます。
- ファイルは、オフライン アクセス用にデバイスに同期されます。これには、オンライン バージョンとの継続的な同期も含まれます。ドライブ モバイルアプリ(Android と iOS)へのアイテムのコンテンツの同期イベントは、代わりにダウンロード イベントとして記録される場合があります。
Google Drive API や Google Sheets API などの Google Workspace API を使用するアプリを通じて、ユーザーに代わってファイルにアクセスできます。これらの操作は、[ダウンロード] イベントや [表示] イベントとしてではなく、[アクセスされたアイテムのコンテンツ] としてのみログに記録されます。Gemini の [アクセスされたアイテムのコンテンツ] イベントは、ウェブ版のドライブでユーザーの公開ファイル以外のファイル コンテンツにアクセスした場合にのみ記録されます。
ユーザーがウェブ版ドライブ、モバイル版ドライブ、パソコン版ドライブアプリでファイルを表示するか、開いた場合、アイテムのコンテンツ アクセス イベントはログに記録されません。
/htmlview、/embed、/revisions やその他の特別な URL を使用したファイルの表示は、表示イベントとしてログに記録されます。
[URL へのアクセスあり] イベントは、Apps Script のスクリプトが URL にアクセスした場合に記録されます。これには、スクリプトが Apps Script ダッシュボードから実行される場合、アドオンとして実行される場合、スプレッドシートのカスタム関数として実行される場合が含まれます。ユーザーがファイル内のリンクをクリックしても、[URL へのアクセスあり] イベントはログに記録されません。
レポートされる属性は、スクリプトの実行方法と所有者によって異なります。
- スクリプトがカスタム関数として実行されると、ドキュメント ID とその他のドキュメント関連属性では、関数が呼び出されたシートが反映されます。
- スクリプトがカスタム関数として実行されない場合、ドキュメント関連の属性はレポートされません。
- Apps Script のスクリプトが組織によって所有されている場合は、スクリプト ID がレポートされます。
URL にアクセスする Google スプレッドシートのインポート関数の呼び出しは、[スプレッドシートのインポート URL] イベントとしてログに記録されます。自動更新によってシートの内容が変更されるか、ユーザーがシートを開くと、イベントがログに記録されます。
イベントには、組織外のユーザー、共有フォルダ、共有ドライブなどに関係するものがあります。たとえば、組織内のユーザーが外部ユーザーとファイルを共有している場合などです。そのようなファイルのオーナー権限をある組織から別の組織に変更すると、両方の組織でイベントがログに記録されます。
両方の組織でログに記録されるイベントの例:
- 組織内のユーザーが所有するドライブ アイテムが外部の共有ドライブに移動された。
- 組織外のユーザーが所有するドライブ アイテムが組織で所有している共有ドライブに移動された。
- ユーザーが組織内あるいは組織外にファイルをコピーした。ファイルを受け取った側の組織では、元のファイル名ではなく、コピーされたファイルの名前がログに記録されます。
自組織ではログに記録されるが外部ドメインではログに記録されないイベントの例:
- 組織内のユーザーが所有するドライブ アイテムが外部ユーザーと共有された。
- 組織内のユーザーが所有するドライブ アイテムが外部ユーザーが参加できるグループと共有された(グループ内に外部ユーザーがいない場合も含む)
- 組織で所有しているドライブ アイテムを外部ユーザーが表示、編集、ダウンロード、印刷、削除した。
- 組織で所有している共有ドライブに外部ユーザーがファイルをアップロードした。
外部ドメインではログに記録されて自組織ではログに記録されないイベントは、上記の内容を入れ替えたものです。
匿名ユーザー(Google アカウントにログインしていないユーザー)については、編集とダウンロードは記録されますが、表示は記録されません。
ドメイン外のユーザーが行った操作は、匿名と表示されます。ただし、そのアイテムがユーザーに(個人ユーザーまたは特定のグループのメンバーとして)明示的に共有されている場合を除きます。
管理者は組織の共有ポリシーまたは信頼ルールのポリシーを設定することで、匿名アクセスと外部アクセスを制限できます。
パソコン版ドライブを使用してドライブとローカル デバイスの間でファイルをコピーすると、[ダウンロード] イベントと [アイテムのコンテンツの同期] イベントが記録されます。
ユーザーがドライブまたは公開ドライブ API で検索を実行すると、検索は検索イベントとして記録されます。このイベントには、検索結果とユーザーの検索クエリに関する情報が含まれます。
ログイベント データを管理する
検索結果の列データを管理する
検索結果に表示するデータ列を設定できます。
- 検索結果の表の右上にある、列を管理アイコン
をクリックします。
- (省略可)現在の列を削除するには、削除アイコン
をクリックします。
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
をクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
- [保存] をクリックします。
検索結果データをエクスポートする
検索結果は、Google スプレッドシートまたは CSV ファイルにエクスポートできます。
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
エクスポートの制限は次のとおりです。
- 書き出せる結果の合計は 100,000 行までに制限されています。
- この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
セキュリティ調査ツールをご利用の場合、書き出せる結果の合計は 3,000 万行までに制限されています(ただし、Gmail のメール検索の上限は 10,000 行です)。
詳細については、検索結果をエクスポートするをご覧ください。
データを利用できる期間
検索結果に基づいて対応する
- レポートルールを使用して、ログイベント データに基づいてアラートを設定できます。手順については、レポートルールの作成と管理をご覧ください。
- この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
アクティビティ ルールを作成すると、セキュリティ調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。
この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
セキュリティ調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、セキュリティ調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。詳しくは、検索結果に基づいて対応するをご覧ください。
調査を管理する
この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較
調査のリストを表示する自分がオーナーとなっている調査と、自分に共有されている調査のリストを表示するには、調査を表示アイコン をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。
このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。
注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。
特権管理者は、設定アイコン をクリックして、次の操作を行うことができます。
- 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
- [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
- [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
- [操作を実行する理由] をオンまたはオフにする。
手順と詳細については、調査の設定を行うをご確認ください。
検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。
詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。
関連トピック
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
