Google Workspace 監査ログの保持期間と自動保管

Google Workspace を安全に運用するためには、監査ログの管理が欠かせません。ログイン履歴やファイル共有履歴、管理者設定変更を確認できるため、情報漏えい対策や内部監査に役立ちます。しかしGoogle Workspace の監査ログには保持期間があり、保存期限を過ぎると管理コンソールから確認できなくなります。

そのため監査対応を重視する企業では、監査ログを継続的に保管できる仕組み作りが重要になっています。

株式会社フライトソリューションズでは、Google Workspace の導入支援だけでなく、監査ログを取得し、Googleドライブにアーカイブする機能「監査ログアーカイブ機能」を備えた「 Provii!! 」も提供しています。監査対応やログ管理運用の効率化を検討している場合は、ぜひご相談下さい。

1. Google Workspace 監査ログの基本と保持期間

Google Workspace の監査ログは、ユーザー操作や管理者による設定変更を追跡する重要な機能です。セキュリティ対策だけでなく、監査証跡の保存にも利用されています。

Google Workspace 監査ログで確認できる情報

Google Workspace の監査ログでは、ユーザー操作や管理者設定変更などを確認できます。

たとえば Google ドライブの「ドライブのログイベント」では、ファイル共有やダウンロード履歴が確認可能です。また「管理ログイベント」では、管理者による設定変更履歴も確認できます。

Google Workspace では主に以下のような操作履歴が確認可能です。

• ファイル共有やダウンロード履歴
• 管理者による設定変更
• ユーザーログイン履歴

これらのログは、不正操作調査や内部監査、情報漏えい対策などで重要な証跡として活用されます。

監査ログとアクセスログの違い

監査ログとアクセスログは似ていますが、役割が異なります。

アクセスログはユーザーのアクセス状況を記録するログです。「いつ・どこから・どの端末でアクセスしたのか」を確認するために利用され、不正アクセス検知や障害調査で活用されます。

一方で監査ログは、設定変更や権限変更、ファイル共有などの操作履歴を記録するログです。「誰が・いつ・何を変更したのか」を確認するために利用され、監査対応や事後調査の証跡として重要になります。

主な違いを整理すると以下の通りです。

• アクセスログ：ログイン履歴や接続元情報を確認
• 監査ログ：設定変更や操作履歴を確認

Google Workspace ではユーザーアクセス状況や管理操作ごとにログが分かれており、用途に応じて使い分けられています。

保持期間を過ぎるとログ確認が難しくなる理由

Google Workspace の監査ログには保持期間があります。代表的な「管理ログイベント」や「ドライブのログイベント」などは、通常6か月間しか保存されません。

保持期間を超えると、ログは管理コンソールから確認できなくなるため、数か月前の操作履歴を後から調査したくても、必要な証跡が残っていないケースがあります。

特に以下のようなケースでは、長期的なログ確認が必要になります。

• 内部不正調査
• 情報漏えい調査
• 外部監査対応
• 退職者アカウント確認

監査ログはトラブル発生後に取得するのではなく、日常的に継続保管する運用が重要です。

2. Google Workspace のアクセスログを監査対応に活用する方法

アクセスログはユーザー行動を把握するために重要です。不正アクセスやアカウント不正利用の検知にも役立ちます。

アクセスログで把握できるユーザー行動

Google Workspace のアクセスログでは、ログイン日時や接続元 IP アドレスなどを確認できます。

アクセスログはセキュリティ維持やコンプライアンス確認、トラブル発生時の調査などで活用されます。たとえば、退職済みアカウントへのアクセス有無を確認したり、障害発生時にログイン状況を調査したりする際に役立ちます。

Google Workspace では、「ユーザーのログイベント」で次のような情報が確認可能です。

• ログイン日時
• IP アドレス
• ログイン成功 / 失敗

アクセスログを継続的に確認することで、セキュリティ事故や運用トラブルの早期発見につながります。

複数ドメインや組織単位でアクセスログを確認する方法

「ユーザーのログイベント」では、ユーザー名やドメイン、IP アドレス、期間などを指定してログを検索できます。複数ドメインを利用している場合も、対象ドメインを指定してアクセス状況が確認可能です。

また「アクターの組織部門」を条件に指定すると、営業部門や管理部門など、組織部門ごとのアクセス状況を確認できます。
管理対象が増えるほど検索条件が複雑になるため、組織構成や組織部門設計を整理しておくことが重要です。

監査要求時に必要な証跡をすばやく用意するポイント

監査対応では必要なログを短時間で提出できる体制が求められます。特に情報漏えい調査や内部監査では、「誰が・いつ・何を行ったのか」を迅速に確認できなければなりません。

そのため次の条件でログを検索できる状態を整備しておくことが重要です。

• ユーザー名
• 操作日時
• IP アドレス
• 操作内容

たとえば「特定ユーザーがいつ Google ドライブの共有設定を変更したのか」や、「管理者がどのタイミングで設定変更を行ったのか」を追跡できる状態が理想です。

一方で監査ログを手動で保存する運用では、取得漏れや保存忘れが発生しやすくなります。監査対応を円滑に進めるには、必要なログを継続的に保管できる運用を整備することが重要です。

3. Google ドライブの監査ログを管理する方法

Google ドライブ は社内情報共有の中心になるため、監査ログ管理が特に重要です。共有設定変更の監視が欠かせません。

Googleドライブの監査ログで確認すべき操作履歴

Google ドライブの監査ログは、ファイル共有状況や操作履歴を確認するために重要です。特に社外共有履歴は、情報漏えい対策の観点で重要視されています。
たとえば機密ファイルを誤って外部共有した場合、重大な情報漏えい事故につながる可能性があります。そのため共有設定変更やダウンロード履歴を継続的に確認する運用が重要です。

Google Workspace では「ドライブのログイベント」で次のような操作履歴が確認可能です。

• ファイル共有
• ダウンロード
• 権限変更
• ファイル削除
• 外部共有設定変更

これらの履歴を確認することで、意図しない共有設定変更や不審なファイル操作を把握しやすくなります。「ドライブのログイベント」は内部不正対策でも重要な役割を担います。

ファイル共有や権限変更のログ確認方法

「ドライブのログイベント」では期間やユーザー、イベント種類などを指定して操作履歴を確認できます。
たとえば閲覧権限から編集権限へ変更された履歴や、リンク共有へ変更されたタイミング、外部ユーザーへの共有履歴なども確認可能です。

特に注意が必要なのは、共有範囲変更に関する操作です。社内限定ファイルが外部共有へ変更された場合、機密情報が意図せず公開されるリスクがあります。

そのため以下のような条件でログを確認すると、共有設定変更を追跡しやすくなります。

• 外部共有設定変更
• リンク共有への変更
• 短期間での大量共有操作

また期間や対象ユーザーを絞って確認すると、問題発生時の操作履歴を整理しやすくなります。
外部共有設定変更や権限変更が発生していないか、定期的にログを確認する運用が重要です。

Google ドライブの監査ログを継続的に保管する重要性

ドライブの監査ログは情報漏えい調査や内部監査で重要な証跡になります。しかし調査は数か月以上前の履歴確認が必要になるケースも少なくありません。

そのため監査ログを継続的に保管できる仕組みが重要になります。ただし管理コンソールから定期的に手動ダウンロードを行う運用では、作業負荷や取得漏れが発生しやすくなります。

近年では監査ログを API で自動取得し、Google ドライブへ継続アーカイブする運用も増えています。自動保管を行うことで、必要なタイミングで過去ログを確認しやすくなり、監査対応の負担軽減にもつながります。

監査ログは「必要になってから取得する」のではなく、日常的に自動保管しておくことが重要です。

4. Google Workspace の管理監査で確認すべき項目

管理監査では管理者による設定変更や権限変更などの重要操作を確認します。特に管理者アカウントの操作履歴は組織全体へ影響する可能性があるため、継続的な確認が重要です。

管理監査で追跡できる管理者操作

Google Workspace の「管理ログイベント」では、管理コンソール上で実施された設定変更履歴を確認できます。
たとえば管理者アカウント追加や削除、2 段階認証設定変更、外部共有ポリシー変更、SSO 設定変更などが記録されます。
特に注意が必要な操作は以下です。

• 管理者権限追加
• 外部共有制限変更
• OAuth アプリ許可
• 2 段階認証設定変更
• SSO 設定変更

特に Google ドライブの外部共有制限を変更した場合、大量ファイルが意図せず共有可能になるリスクがあります。
また特権管理者の追加や権限昇格も重要な監査対象です。不正操作や設定ミスが発生すると、組織全体へ影響が広がる可能性があります。管理者による設定変更履歴を継続的に確認することで、意図しない権限変更やセキュリティ設定変更を把握しやすくなります。

設定変更や権限変更の監査ログを確認する方法

「管理ログイベント」では、変更日時や実施ユーザー、イベント種類などを条件指定して操作履歴を確認できます。
たとえば管理者権限追加や セキュリティ設定変更、外部共有ポリシー変更などのイベントを絞り込むことで、設定変更履歴を追跡しやすくなります。
特に権限追加やセキュリティ設定変更は組織全体へ影響する可能性があるため、重点的な確認が重要です。

またEnterprise など一部の上位エディションでは、「調査ツール（Investigation Tool）」 を利用できます。複数条件を組み合わせた高度検索が可能になるため、監査対応やインシデント調査を効率化しやすくなります。

ログを定期的に確認することで、不正変更や設定ミスの早期発見につながります。

管理監査ログの取得漏れを防ぐ運用の考え方

管理監査ログは管理者操作を追跡する重要な監査情報です。しかし管理者が定期的に手動でログを取得する運用では、取得忘れや保存漏れが発生しやすくなります。

特に複数管理者が存在する環境では、「誰がログを取得するのか」が曖昧になりやすく、運用が属人化するケースも少なくありません。また退職や担当変更によって運用手順が引き継がれず、必要な監査ログが保存されていない状態になる場合もあります。

そのため監査ログ取得を自動化し、継続保管できる仕組みを整備する企業も増えています。自動化によって運用負荷を減らしながら、監査対応に必要な証跡を安定して保存しやすくなります。

監査ログ運用では「取得する仕組み」だけでなく、「取得漏れを防ぐ仕組み」も重要です。

5. Google Workspace 監査ログAPIと自動保管による負担軽減

監査ログ API を利用すると、ログ取得や保管を自動化できます。手作業による運用負担を大幅に削減可能です。

監査ログAPIで取得できるログの種類

Google Workspace では「 Admin SDK Reports API 」を利用して監査ログを取得できます。API を利用すると、ログイン履歴や管理操作履歴、Google ドライブの操作履歴など、各種監査ログを外部システムから取得可能です。

たとえばGoogle ドライブの共有設定変更履歴や、管理者によるセキュリティ設定変更履歴なども API 経由で確認できます。
API を利用することで、管理コンソールだけでは難しい継続的なログ取得や外部システム連携を行いやすくなります。

監査ログAPIと既存システム連携の考え方

取得した監査ログは、既存の監視システムやログ分析基盤へ連携可能です。
たとえば Microsoft 365 や VPN ログと組み合わせると、複数サービスを横断したアクセス調査や不正利用分析を行いやすくなります。

またログを一元管理することで、監査時の証跡確認も効率化しやすくなります。

一方で分析基盤を導入する前段階として、まずは監査ログを継続保存できる環境を整備することも重要です。そのため取得した監査ログを Google ドライブへ自動アーカイブし、管理コンソールの保持期間に依存しない形で継続保管する運用もあります。

ログの検索・抽出前に必要な継続的な取得と保管

監査対応では必要なログを迅速に検索・抽出できることが重要です。しかし、ログが継続的に保存されていなければ、必要なタイミングで検索自体ができません。

特に情報漏えい調査や内部監査では、数か月以上前のログ確認が必要になるケースもあります。そのため監査ログを日常的に取得・保管し、必要な時に過去ログを確認できる状態を維持することが重要です。

監査対応では「検索しやすさ」だけでなく、「必要なログが継続的に保存されていること」も重要になります。

自動取得・長期保管で管理者の手作業を減らす方法

監査ログを手動で定期取得する運用では、ダウンロード作業や保存管理に手間がかかります。また、取得漏れや保存忘れが発生しやすい点も課題です。

そのため監査ログを API で自動取得し、継続保管できる仕組みを整備することが重要になります。

たとえば「 Provii‼ 」の監査ログアーカイブ機能では、Google Workspace の監査ログを API 連携で自動取得し、 Google ドライブへ継続アーカイブできます。

管理コンソールから毎回ログを手動取得する必要がなくなるため、管理者の運用負荷軽減にもつながります。また長期的なログ保管を行いやすくなるため、監査対応時の証跡確認にも役立ちます。

6. まとめ

Google Workspace の監査ログは、情報漏えい対策や内部監査に欠かせない重要な機能です。しかし監査ログには保持期間があるため、長期的な監査対応では継続保管を前提とした運用が求められます。

特に手動でログを取得・保存する運用では、取得漏れや管理負荷が課題になりやすくなります。そのためAPI を利用した自動取得や継続アーカイブを活用し、必要な証跡を長期的に保存できる体制を整えることが重要です。

株式会社フライトソリューションズが提供する「Provii‼」は、Google Workspace の運用管理を支援するツールです。監査ログの自動取得・継続アーカイブをはじめ、管理者の手作業を減らし、ログ保管や監査対応にかかる負担を軽減します。Google Workspace の管理業務を効率化し、長期的なログ保管や監査対応の体制を整えたい場合は、ぜひ活用をご検討ください。

株式会社フライトソリューションズではお客様の要望に合わせて、迅速かつ丁寧なグループウェアの導入支援サービスを提供しています。導入を検討している方は、ぜひ弊社にお任せ下さい。