調査ツールと BigQuery Export で見るGoogle Workspace ログ ～ログ確認編➁～

ユーザーのログインに関するログの詳細についてはログイン監査アクティビティイベントをご参照ください。

管理の監査ログ

管理コンソールに関するアクティビティを確認できます。管理コンソールで誰が、いつ、どのような設定をしたかを確認することができます。

調査ツールの管理のログイベント画面は以下です。

確認できる項目については管理ログイベントをご参照ください。

管理のログイベントはデフォルトで表示されている項目が少なく、他の項目を見たい場合は検索結果の右上にある[列を管理(歯車マーク)] から表示したい項目を追加することができます。

次に BigQuery にエクスポートされた 管理のログをみてみます。

管理コンソールのアクティビティに関する項目は363個(注1)あります。

調査ツールで確認できる項目よりかなり多くの項目があることがわかります。

クエリを実行して取得したログの一部です。

管理ログの詳細については管理アクティビティ レポートイベントをご参照ください。

管理ログの場合、BigQuery で確認できる項目が多い分、admin 全体をクエリを実行して取得すると不要な情報も結果として表示され確認に時間がかかることがあるため、上記詳細サイトにもあるように確認したいログが Admin のどのアクティビティなのかを理解しておくとBigQueryでの検索が楽になります。

デバイスの監査ログ

アクティビティが生じたデバイスに関する情報を確認できます。ユーザーがデバイスにアカウントを追加した日時やデバイスで不審な操作や不正利用がされていないかの確認ができます。

調査ツールの デバイスのログイベント画面は以下です。

確認できる項目についてはデバイスのログイベントをご参照ください。

ここで表示されるデバイスのログは限られており、すべてのログを確認したい場合は管理コンソールの[デバイス] > [モバイルとエンドポイント] > [一般設定] > [全般] > [モバイル管理] にて高度なデバイス管理を設定している必要があります。

※本環境は基本管理のみ

次にBigQuery にエクスポートされたデバイスのログをみてみます。

デバイス に関する項目は73個(注1)あります。

クエリを実行して取得したログの一部です。

調査ツールよりも多くの項目があり、確認できます。

詳細については Device Audit Activity Events をご参照ください。

コンテキストアウェアアクセスの監査ログ

コンテキストアウェアアクセスに関するアクティビティを確認できます。ユーザーがどの条件でどのアプリへのアクセスがブロックされたかの確認ができます。

調査ツールのコンテキストアウェアアクセスのログイベント画面は以下です。

確認できる項目についてはコンテキストアウェアアクセスのログイベントをご参照ください。

次にBigQuery にエクスポートされたコンテキストアウェアアクセスのログをみてみます。

コンテキストアウェアアクセスに関する項目は9個(注1)あります。

クエリを実行して取得したログの一部です。調査ツールとほぼ同じログが確認できます。

詳細については Context-Aware Access Audit Activity Events をご参照ください。

ルールの監査ログ

ルールに関するログイベントを確認できます。対象となるのはアクティビティルールや信頼ルール、データ損失防止（DLP）ルールです。

どのルールが誰のどのような操作によって適用されたかの確認ができます。

調査ツールのルールのログイベント画面は以下です。

確認できる項目についてはルールのログイベントをご参照ください。

次にBigQuery にエクスポートされたルールのログをみてみます。

ルール に関する項目は64個(注1)あります。

クエリを実行して取得したログの一部です。

調査ツールで確認できる項目より多くの項目があります。

詳細については Rules Audit Activity Events をご参照ください。

Vault の監査ログ

Vault の監査ログは管理コンソールでのみ確認が可能です。

ユーザーが行った案件の作成や、エクスポートなどVault のコンソール（https://vault.google.com/）で行われたアクティビティの確認が可能です。

確認できる項目については、Vault のログイベントをご参照ください。

各ログの調査ツールと BigQuery Export の違いまとめ

管理コンソールと BigQuery Export で確認できるログについて、ここまでの内容を表にまとめると以下のようになります。

基本的には、調査ツールで確認できるログは BigQuery Export でも確認できます。

第一弾でも述べたように日本語で設定している場合に、調査ツールではカラム名が日本語で表示されるのに対し BigQuery Exportではカラム名は英語で表示されますが、同じ値のログが出力されている場合でも BigQuery の翻訳したカラム名と調査ツールのカラム名が一致するわけではないため、双方でログを確認したい場合には注意が必要です。

監査ログからルールの作成

調査ツールが利用できるユーザーは管理コンソールにてログからアクティビティ ルールを作成することができます。

(※ 調査ツールが利用可能なライセンスについては第一弾のブログをご参照ください。)

例えばドライブのログにて社外秘のファイルをダウンロードしているログがあった場合に、そのアクティビティに該当する監査ログからルールを作成し、次に同じようなアクティビティが発生した際にはアラートを受け取ることができるようになります。

パスワードの変更や、管理コンソールの設定変更、不要なDLなどセキュリティ的に大きな影響を与える可能性があるアクティビティについてはある程度想定内のため、事前にルールを作成することができますが、想定外の危険なアクティビティが生じた場合に監査ログから設定ができるのは管理者にとって助かる機能だと思います。

ぜひ活用してみてください。

作成方法についてはアクティビティ ルールの作成と管理をご参照ください。

まとめ

セキュリティにフォーカスした監査ログについて調査ツールとBigQuery Exportの観点で見てみました。

前回同様、BigQuery Exportのほうが調査ツールよりも詳細な情報を確認できますが、調査ツールでは最後に紹介したようにログからルールを作成することができるため、セキュリティを強化したい管理者には、ぜひ使い分けて活用していただきたいです。

用途に合わせて柔軟な機能の選択と利用をすることが大切かと思います。本記事がその一助になれば幸いです。

関連サービス