アクセスの透明性に関するログイベント

セキュリティ調査ツール

調査ツールでアクセスの透明性に関するログイベントがデータソースとしてサポートされているエディション:
Enterprise Plus、Education Plus

組織の管理者はセキュリティ調査ツールを使って、アクセスの透明性のログイベントに関連する検索を行うことができます。これによって操作の記録を確認し、組織のデータに Google のスタッフがアクセスしたときの操作情報を把握できます。

アクセスの透明性に関するログイベント データには、以下の情報が含まれます。

  • 対象となったリソースと操作
  • 操作の時刻
  • 操作の理由(カスタマー サポート リクエストに関連付けられたケース番号など)
  • データを操作した Google スタッフ(オフィスの所在地など)

詳しくは、アクセスの透明性: Google によるユーザー コンテンツへのアクセスに関するログを確認するをご覧ください。

ログデータを Google Cloud Platform に転送する

ログのデータが Google Cloud Platform と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。

セキュリティ調査ツールへのアクセス

  • セキュリティ調査ツールでサポートされているエディションには、Enterprise Plus と Education Plus が含まれています。
  • Cloud Identity Premium、Enterprise Standard、Education Standard の管理者も、データソースのサブセットに対して調査ツールを使用できます。
  • 調査ツールで検索を実行できるかどうかは、ご利用の Google エディション、管理者権限、データソースによって決まります。調査ツールで特定のデータソースを検索できない場合は、代わりに監査と調査のページをご利用ください。

アクセスの透明性に関するログイベントを検索する

調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索条件を 1 つ以上選択する必要があります。条件ごとに属性、演算子、値を選択します。

手順は次のとおりです。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページで、[セキュリティ] 次に [調査ツール] に移動します。
  3. [データソース] プルダウン リストから [アクセスの透明性に関するログイベント] を選択します。
  4. [条件を追加] をクリックします。
    1 つ以上の条件を指定して検索できます。また、2~3 階層の条件を含むネストされたクエリを使用して、検索をカスタマイズすることもできます(詳しくは、ネストされたクエリで検索をカスタマイズするをご確認ください)。
  5. [属性] プルダウン リストから、[アクター] や [日付] などの属性を選択します。アクセスの透明性に関するログイベントで使用できる属性の一覧については、以下のセクションをご確認ください。

    注: 検索の対象期間を絞り込むと、調査ツールに結果が表示されるまでの時間が短くなります。たとえば、検索を過去 1 週間で発生したイベントに絞り込むと、クエリの対象期間を短くせずに検索した場合よりも速く結果が表示されます。
     
  6. 演算子を選択します([次に一致]、[次に一致しない]、[次の文字を含む]、[次の文字を含まない] など)。
  7. 属性の値を選択または入力します。一部の属性については、プルダウン リストから選択できます。その他の属性の場合は、値を入力します。
  8. (省略可)複数の検索条件を設定するには、上記の手順を繰り返します。
  9. [検索] をクリックします。
    調査ツールの検索結果は、ページ下部の表に示されます。
  10. (省略可)検索を保存するには、保存アイコン 保存 をクリックし、タイトルと説明を入力して [保存] をクリックします。

注: [条件作成ツール] タブを使用すると、AND/OR 演算子を使ってフィルタ条件を作成できます。検索結果を絞り込むために、[フィルタ] タブを使用して単純なパラメータと値のペアを追加することもできます。

属性の説明

このデータソースでは、ログイベント データの検索時に次の属性を使用できます。

Attribute Description
Actor Email address of the user who performed the action
Actor group name Group name of the actor
Actor home office

Home office of the actor who performed the data access. Displays the ISO 3166-1 alpha-2 country/region code in which the accessor has a permanent desk.

Values include:

  • 3-character continent identifier if the Google staff member is in a low-population country—for example, ASI, EUR, OCE, AFR, NAM, SAM, or ANT
  • "??" means the location isn’t available
Actor organizational unit Organizational unit of the actor
Date Date and time of the event (displayed in your browser's default time zone)
Event The logged event action, such as Resource accessed
Google Workspace product Name of the product that was accessed
Justifications Access justifications, such as Customer Initiated Support - Case Number: 12345678
Log ID Unique log ID
On behalf of Email address(es) of the users whose authority was used for Access Management controls
Owner email The email ID or team identifier of the customer who owns the resource
Resource name Resource name of the resource that was accessed
Tickets Tickets associated with the justification, if any

検索結果に基づいて対応する

調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。調査ツールでの操作について詳しくは、検索結果に基づいて対応するをご確認ください。

アクティビティ ルールを作成し、アラートを設定する

アクティビティ ルールを作成すると、調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。

調査を管理する

調査のリストを表示する

自分がオーナーとなっている調査と、自分が共有メンバーとなっている調査のリストを表示するには、調査を表示アイコン "" をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。

このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。

注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。

調査の設定を行う

特権管理者は、設定アイコン "" をクリックして、次の操作を行うことができます。

  • 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
  • [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
  • [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
  • [操作を実行する理由] をオンまたはオフにする。

手順と詳細については、調査の設定を行うをご確認ください。

検索結果の列を管理する

検索結果に表示するデータ列を管理できます。

  1. 検索結果の表の右上にある列を管理アイコン "" をクリックします。
  2. (省略可)現在の列を削除するには、アイテムを削除アイコン "" をクリックします。
  3. (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン "" をクリックしてデータ列を選択します。
    以上の手順を必要なだけ繰り返してください。
  4. (省略可)列の順序を変更するには、列名をドラッグします。
  5. [保存] をクリックします。
検索結果からデータを書き出す
  1. 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
  2. 名前を入力し 次に [エクスポート] をクリックします。
    書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。
  3. データを表示するには、エクスポートの名前をクリックします。
    書き出したデータが Google スプレッドシートで開きます。

書き出された検索結果を表示する際は、以下を参考にしてください。

  • 表の上部にあるすべてエクスポート アイコンをクリックすると、検索結果を含む Google スプレッドシートが [マイドライブ] フォルダに作成されます。結果のサイズによっては、書き出し処理に時間がかかることがあり、Google スプレッドシートが複数作成されることもあります。書き出せる結果は合計 3,000 万行までに制限されています(ただし、Gmail のメール検索の上限は 125 万行です)。
  • 書き出しの進行中は、仮名の Google スプレッドシートが作成されます(TMP-1-<タイトル> など)。Google スプレッドシートが複数作成される場合、2 番目以降のファイルの仮名は TMP-2-<タイトル>TMP-3-<タイトル> のようになります。書き出し処理が完了すると、ファイル名は自動的に <タイトル> [1 of N]<タイトル> [2 of N] のように変更されます。書き出されたデータを含む Google スプレッドシートが 1 つのみの場合、ファイル名は <タイトル> に変更されます。
  • 書き出された検索結果を含むファイルの共有アクセス権限は、ドメイン設定に準拠します。たとえば、作成されたファイルがデフォルトで社内の全員と共有される場合、書き出されたデータにもこの公開設定が適用されます。
調査を共有、削除、複製する

検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。

詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。

データを利用できる期間

データソースについて詳しくは、データの保持期間とタイムラグをご確認ください。

アクセスの透明性ログのデータについて

ログの項目の説明

ログの項目名 システム フィールド名 説明
日付 items:id:time ログが書き込まれた時刻
Google Workspace のサービス items:events:parameters:GSUITE_PRODUCT_NAME アクセスのあったサービス。次のように大文字で表示されます。
  • GMAIL
  • CALENDAR
  • DRIVE
  • SHEETS
  • SLIDES
所有者のメールアドレス items:events:parameters:OWNER_EMAIL リソースを所有するお客様のメール ID またはチーム ID
従業員の所属オフィス items:events:parameters:ACTOR_HOME_OFFICE

アクセスした従業員が在籍する勤務地の国または地域コード(ISO 3166-1 alpha-2)

  • 場所が不明な場合は「??」と表示される
  • 当該 Google スタッフ メンバーの勤務地が人口の少ない国にある場合は、アルファベット 3 文字の大陸識別コード(ASI、EUR、OCE、AFR、NAM、SAM、ANT)で表示される
理由

items:events:parameters:JUSTIFICATIONS

アクセスが行われた理由(「お客様からの問い合わせ - ケース番号: 12345678」など)

チケット tickets 理由に関連付けられたチケット(該当する場合)
ログ ID items:events:parameters:LOG_ID 一意のログ ID
リソース名 items:events:parameters:RESOURCE_NAME アクセスされたリソースの名前。ドメインにおけるセキュリティやプライバシーの事象を特定して優先順位を付けて対応を行うために、リソース名をセキュリティ調査ツールで使用することができます。
委任者 items:events:parameters:ON_BEHALF_OF アクセスの対象者。オーナーではなくドキュメントの共有者がサポート対象となる場合もあります。[委任者] はアクセスのコンテキストを把握するための追加情報を提供します。
アクセス管理ポリシー items:events:parameters:
ACCESS_MANAGEMENT_POLICY
アクセス前に検証されたアクセス管理ポリシー。アクセス管理が設定されているお客様にのみ適用されます。

理由の説明

理由 説明
お客様からのサポート要請 お客様からのお問い合わせによって開始されたサポート(ケース番号など)
外部からの報告を受け不正行為の調査を開始

 

外部から Google に調査を要するコンテンツが報告され、不正行為の調査が開始された。
  • ユーザーは、Google 利用規約に反するコンテンツを不正行為として報告することができる
  • 特権管理者は、セキュリティ調査ツールを使ってドキュメントの詳細(ドキュメントのタイトル、オーナー、種類のほか、過去 180 日以内に該当ドキュメントで発生したログイベントの詳細など)を確認することができる
  1. 調査ツールで、データソース [ドライブのログのイベント] を使用して検索を実行します。
  2. [条件] で [ドキュメント ID] をクリックします。
  3. アクセスの透明性ログからリソース ID をコピーし、調査ツールの [ドキュメント ID] 欄に貼り付けます。
  4. [検索] をクリックします。

詳細と設定手順については、調査ツールで検索をカスタマイズするをご覧ください。

詳しくは、不正行為の報告をご覧ください。

サービス アラートに Google が対応 サービス停止が疑われる場合に、システムの信頼性を維持するために Google が自発的に行ったアクセス。例:
  • サービス停止が疑われる場合にお客様が影響を受けていないかどうかを確認する調査
  • サービス停止とシステム障害からのバックアップと復旧
Google が調査を開始 セキュリティ、不正行為、乱用、コンプライアンスに関する次のような目的で Google が自発的に行ったアクセス。
  • お客様のアカウントおよびデータの安全性とセキュリティを確保する
  • アカウントのセキュリティに影響する可能性があるイベント(マルウェア感染など)の影響がデータに及んでいるかどうかを確認する
  • お客様が Google 利用規約を遵守して Google サービスを利用されているかどうかを確認する
  • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
  • Google サービスが、関連するコンプライアンス体制(マネー ロンダリング防止法など)を遵守して使用されていることを確認する

Google がサービスを開始

Google Cloud Platform サービスの継続的なメンテナンスと提供のために Google が自発的に行ったアクセス。例:

  • 複雑なサポート リクエストや調査に技術的なデバッグが必要
  • 技術的な問題(独立したストレージの障害やデータの破損など)の修復
第三者によるデータ リクエスト Google が法的要請や法的手続きに対応するためにお客様のデータに行ったアクセス。これには、お客様の法的手続きに対応するうえで、そのお客様のデータへのアクセスが必要な場合も含まれます。

この場合、このような要請や手続きについて Google からお客様に通知することが法的に認められていないケースでは、操作がアクセスの透明性ログに記録されないことがあります。

アクセスの透明性に関するアラートを設定する

[所有者のメールアドレス] や [従業員のメインオフィス] などのログフィルタに対して、メールアラートを設定することができます。また、アクセスの透明性をサポートしているサービスのすべてのログに対し、アラートを有効にすることも可能です。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[レポート] にアクセスします。
  3. [監査ログ] の下にある [アクセスの透明性] をクリックします。
  4. [+ フィルタを追加します] をクリックします。
  5. フィルタを 1 つ以上選択し、[適用] をクリックします。
  6. (省略可)サポートされているすべてのサービスのすべてのログについてアラートを有効にするには、[イベント名] 次に [アクセス] をクリックします。これにより、「イベント名: アクセス」というフィルタが作成されます。
  7. レポートルール作成アイコン "" をクリックし、ルール名と、他にアラートを受信するユーザーのメールアドレスを入力します。
  8. [作成] をクリックします。

アクセスの透明性ログのデータとサードパーティ製ツールを統合する

Reports API を使用して、アクセスの透明性ログを既存のセキュリティ情報イベント管理(SIEM)ツールと統合できます。詳しくは、アクセスの透明性のアクティビティ イベントについてのページをご覧ください。

データを利用できる期間

データの保持期間とタイムラグをご覧ください。

 
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false