%20(1).png?width=1080&height=227&name=YOSHIDUMI_01%20(3)%20(1).png)
Google Workspace の管理コンソールには、「監査ログ」の閲覧機能が備わっています。
監査ログとは、「ユーザーと管理者のアクティビティの記録」であり、管理者がセキュリティを確保するために利用するログになります。
監査ログは大別すると、3つのログ種別が存在し、管理者はこれらのログを監視しながら、 Google Workspace の運用を行うことができます。
|
監査ログの種類
|
内容
|
|
管理アクティビティ
|
管理者が Google 管理コンソールで行った操作
|
|
セキュリティ
|
ログイン操作やサードパーティ製アプリの使用状況、SAML アプリケーションへのユーザーのログイン状況等
|
|
サービスとアカウント
|
ユーザーのカレンダー、メール、ドライブ等のアプリケーションのアクティビティ、各アカウントでのユーザーアクティビティ
|
ところで、情報システムの担当者や Google Workspace の管理者は、これらの監査ログを分析したい場合、どのような手順を踏めば良いでしょうか。
基本的には、 Google Workspace の管理コンソール上にあるフィルタリング機能(※1)を利用して、ログの解析を行うことができますが、データを外部にエクスポートして、分析したい場合もあると思います。
例えば、SQLに慣れている管理者であれば、データベースにログをエクスポートして分析したいと考えるはずです。
というわけで、今回は Google Workspace のログを外部にエクスポートする方法について説明を行います。
※1 ユーザー、アクテビティの種類、組織、日付等によるログの絞り込み機能
監査ログの制約について理解しよう
Google Workspace の監査ログには制約が存在します。ログのエクスポート方法について説明する前に、まずは監査ログの制約について理解を深めていきましょう。
監査ログの保持期間には期限がある
Google Workspace の監査ログは、データの保持期間に期限が存在します。
各ログの保持期間は以下の通りです。基本的には6ヶ月間が一つの目安になりますが、ログの種類によっては、30日しか保管されないログや15ヶ月という長期間保持されるログも存在します。
監査ログの保持期間の制約を理解しないで Google Workspace の運用を行う場合、「気付いたらログがなくなっていた」という事態が起きかねないので注意が必要です。
|
監査ログまたはレポートの名前
|
データの保持期間
|
|
アクセスの透明性
|
6 か月
|
|
アカウントの使用状況レポート
|
6 か月
|
|
管理の監査ログ |
6 か月
|
|
API で取得される監査データ
|
6 か月
|
|
カレンダーの監査ログ
|
6 か月
|
|
チャットの監査ログ
|
6 か月
|
|
Chrome アプリと拡張機能の使用状況
|
12 か月
(管理者による変更可)
|
|
Chrome の監査ログ
|
6 か月
|
|
Chrome のバージョン レポート |
12 か月
(管理者による変更可)
|
|
Currents の監査ログ
|
6 か月
|
|
API で取得されるユーザーの使用状況に関するデータ
|
15 か月
|
|
データポータルの監査ログ
|
6 か月
|
|
デバイスの監査ログ(一部のサブスクリプションのみの提供)
|
6 か月
|
|
ドライブの監査ログ(一部のサブスクリプションのみの提供)
|
6 か月
|
|
メールログの検索
|
30 日
|
|
API で取得される、エンティティの使用状況に関するデータ
|
30 日
|
|
グループの監査ログ |
6 か月
|
|
Jamboard の監査ログ
|
6 か月
|
|
ログイン監査ログ
|
6か月
|
|
Meet の監査ログ
|
6 か月
|
|
OAuth トークンの監査ログ(一部のサブスクリプションのみの提供)
|
6 か月
|
|
ルールの監査ログ
|
6 か月
|
|
SAML 監査ログ
|
6 か月
|
|
セキュリティ レポート
|
6 か月
|
|
ユーザー アカウントの監査ログ
|
6 か月
|
|
Voice の監査ログ
|
6 か月
|
ログに反映されるまでのタイムラグ
ログの種類によっては、監査ログにデータが反映されるまでに数日のタイムラグが発生します。
基本的には1~3日でデータは反映されますが、ログの種類によってはリアルタイムにログが反映されるものも存在します。
例えば、以下表のログはほぼリアルタイムでログを参照することが可能です。
Google はこれらのログを参照するためのAPIを提供しているため、リアルタイムにログを検知し、通知を行う機能を利用者自身が実装することも可能です。
|
レポート名
|
タイムラグ
|
|
アクセスの透明性の監査 |
ほぼリアルタイム(数分以内)
|
|
管理監査
|
ほぼリアルタイム(数分以内)
|
|
カレンダーの監査
|
数十分(場合によっては最長で数時間)
|
|
Chrome の監査
|
ほぼリアルタイム(数分以内)
|
|
データポータルの監査
|
ほぼリアルタイム(ほとんどの場合は数分)
|
|
ドライブの監査
|
ほぼリアルタイム(数分以内)
|
|
グループの監査
|
数十分(場合によっては最長で数時間)
|
|
ログイン監査
|
数時間
|
|
Meet の監査
|
ほぼリアルタイム(数分以内)
|
|
Meet の品質
|
ほぼリアルタイム(数分以内)
|
|
デバイスの監査
|
数時間
|
|
ルールの監査
|
タイムラグなし
|
|
SAML の監査
|
数時間
|
|
トークンの監査
|
数時間
|
|
ユーザー アカウントの監査
|
数十分
|
監査ログをエクスポートするための3つの方法
監査ログをエクスポートする目的として「データ解析を行いたい」というニーズがあると思いますが、ここまで説明してきた監査ログの制約を考えると、「ログをバックアップしたい」という需要もありそうです。
しかし、ログのエクスポートについても、方法によっては制約が存在します。
一体どのような制約があるのか・・・ここからは監査ログのエクスポート方法について説明を行います。
スプレッドシート、もしくはCSVに出力する
Google Workspace の管理コンソールにはログをエクスポートする機能が存在します。
例えば、ドライブの監査ログをダウンロードする場合、管理コンソールの左メニューから[レポート]-[監査]-[ドライブ]を選択し、ドライブの監査ログ画面に遷移します。
画面右上にあるダウンロードアイコンを押下すると、以下のようなダイアログが表示されるので、「出力対象のデータ列」と「ダウンロード形式(スプレッドシート、またはCSV)」を指定して、ログデータのダウンロードを実行します。
ただし、一度にダウンロード可能なレコード数には100,000行という制限が存在するため注意が必要です。さらに多くのログを一度にエクスポートしたい場合は、別の手段を検討します。
APIによってログをエクスポートする
Google は監査ログを参照するためのAPIを提供しています。
このAPIを利用すれば、各種ログをエクスポートするプログラムを実装することができます。
また、 Google は開発向けのライブラリも提供しているため、利用者は開発言語に合わせたクライアントライブラリを利用すると良いでしょう。
APIの詳細についてはコチラが参考になりますが、監査ログの仕様は幅広いため、理解には時間がかかるかもしれません。
APIでログを出力する方法は、専門的な知識が要求されるため、非常に難易度の高い対応方法になるので注意が必要です。
BigQueryにログをエクスポートする
監査ログのエクスポートで最も簡易で手間がかからない方法は BigQuery (※2) へのエクスポートです。
ただし、 BigQuery へのエクスポート機能を利用するためには、 Google Workspace のEnterpriseエディション、もしくはEducation Standard/Plusエディションの契約が必要になります。
それ以外のエディションでは、この機能を利用することができません。 BigQuery にログをエクスポートする場合、管理者は以下のようなデータ解析を行うことが可能です。
|
データ解析の例
|
|
管理コンソール、Google カレンダー、デバイス、Google ドライブ、ログイン、Google グループ、OAuth トークン、SAML の監査ログや、Reports API の更新について、それぞれのアクティビティ情報を分析する。
|
|
アクティビティ レポートと組織で使用されている他のアプリの使用状況データを組み合わせて、すべてのアプリを対象としたレポートを作成する。
|
|
BigQuery に組織のディレクトリ データを追加して、Google Workspace でのアクティビティを詳しく検索する。
|
|
ユーザー アカウント、ドライブ、Chrome OS、Classroom、カレンダー、Currents、Google Meet、デバイス管理、Gmail や、Reports API の更新について、使用統計を集約したレポートを作成する。
|
|
Google データポータルや、BigQuery と統合されたサードパーティ製可視化パートナーなどの分析ツールを使用して、カスタム レポートとダッシュボードを作成する。
|
ただし、 BigQuery を利用する場合 Google Workspace とは別に Google Cloud Platform の契約が必要になります。
BigQuery について詳しく知りたい場合はこちらをご参考ください。
詳しいエクスポート手順については、今後のコラム記事で紹介しようと思います。
※2 BigQuery は Google が提供するビッグデータ解析サービスで、数ペタバイトのデータでさえもSQLを使って数秒から数十秒で処理することができます。
まとめ
監査ログは非常に強力な機能ではありますが、データの保持期間に制約が存在することがわかりました。だからこそ、ログのエクスポート機能の重要性は高いと言えます。
ログデータをエクスポートする最も簡易な方法は BigQuery へのエクスポート機能であると説明しましたが、この方法を選択する場合、 Google Workspace のエディションをアップグレードしなければならない可能性があります。
しかし、データ解析によって得られる、全体最適に繋がるメリットを考えると、エディションのアップグレードにかかるコストは高いとは言い切れません。
Google Workspace をさらに高度に使いこなすために、 BigQuery へのエクスポート機能は今後さらに需要が高まっていくことが考えられます。
迷惑メールを管理!どうしても迷惑メール判定がされてしまうメールを対処しよう
Google Apps Script が単なる自動化ツールではない理由
14:00-15:00 オンライン
Gemini for Google Workspace を徹底解説!〜無料版から有料版まで、 選定のポイントを紹介〜
詳細はこちら
11:00-12:00 オンライン
エンジニア不足はもう怖くない!AppSheet 導入事例とプラン選定の要所セミナー
詳細はこちら
14:00-15:00 オンライン
Google Workspace vs. Microsoft 365 比較セミナー
詳細はこちら
14:00-15:00 オンライン
Gemini for Google Workspace 徹底活用セミナー 〜デモ付き解説で、Gemini の真価を体感!~
詳細はこちら
15:00-16:00 オンライン
生成AI導入実践セミナー ~COGMA & WorkAIzerを活用し、リスクを最小限に、効果を最大限に!~
詳細はこちら
11:00-12:00 オンライン
非エンジニア歓迎!基礎から活用シーンまで学べる! AppSheet を使った現場DX入門セミナー
詳細はこちら
オンラインセミナー開催中
