G Suite 監査ログを活用するための調査まとめ
- 2019 3/19
- カテゴリー : Google Workspace
- コメントを書く
G Suite Business プラン以上では『監査ログ』を利用することができます。具体的に、監査ログで、できること・できないことを調べてみたのでご紹介します。
G Suite 監査ログについて調べた背景
つい先日、経営者の知人に「社内の機密情報が社外に漏洩したので、証拠を探せないか?」という相談をされたことがありました。
G Suite を使っていれば、Business プラン以上から監査ログが利用できるので、Google ドライブでドキュメント管理をして場合『監査ログ』を検索することで機密情報漏洩の証拠を突き止めることができるのでは?と思ったのが G Suite 監査ログについて調べた背景です。
G Suite のいろんな監査ログ
G Suite で確認できる監査ログは Login Audit Log – G Suite 管理者 ヘルプ ページにリストアップされています。
監査ログ共通してできる便利機能
以下の2点が全ての監査ログに共通してできる便利機能です。
- 監査ログデータのカスタマイズや書き出しを行う
- メールアラートを設定する
書き出しの最大セル数は 210,000 個です。最大行数は、選択している列の数によって変わります。書き出した Google スプレッドシートとダウンロードした CSV ファイルに表示される行数は、どちらも最大 10,000 行です。
と記載されているので、監査ログデータはこまめにダウンロードしないと全て保存することはできなさそうです。
G Suite ドライブの監査ログ
機密情報漏洩の原因になりそうな G Suite ドライブの監査ログを例にして、気になる点を調べてみました。
導入前の監査ログは閲覧できない
G Suite Business プランへ切り替える前の監査ログは閲覧できないようでした。なので、監査ログが必要になりそうになったら、G Suite 上位プランへ切り替えることをおすすめします。
180日導入前の監査ログは閲覧できない
データの保持期間とタイムラグ – G Suite 管理者 ヘルプ
フィルタから絞り込んでも「今から 180 日以内の開始時間を選択してください。」というエラーメッセージが表示されます。
監査ログをダウンロードして保存しておく
監査ログは、管理コンソール https://admin.google.com/AdminHome?fral=1#Reports:subtab=drive-audit からダウンロードすることができます。
監査ログは膨大な量になるので、全ての監査ログを管理コンソールからダウンロードするのは現実的ではないと思います。
もし、すべての監査ログをダウンロードして Amazon S3 や Glacier などのオンラインストレージサービスに保存しておきたい場合、Reports API を利用してダウンロードするのが効率的だと思います。
- Get Started | Reports API | Google Developers
- Reports API: Drive Activity Report | Reports API | Google Developers
- Activities: list | Reports API | Google Developers
例えば、GET https://www.googleapis.com/admin/reports/v1/activity/users/all
/applications/drive?maxResults=1000&pageToken=nextPageToken のような感じで API 経由でも、監査ログをダウンロードすることができます。
以上、G Suite で使える『監査ログ』を理解して、機密情報の漏洩があったときに備えておきたい現場からお送りしました。