この記事は https://workspaceupdates.googleblog.com/ の記事をもとに作成しています。
元記事の作成年月日:2026年3月19日
日本のGoogle Workspaceユーザーの皆様、こんにちは。
そして、これからGoogle Workspaceの導入を検討されている皆様も、当ブログをご覧いただき誠にありがとうございます。
企業のIT管理者やセキュリティ担当者にとって、「社内の誰が、いつ、どのデータにアクセスし、どのような操作を行ったのか」を正確に把握することは、情報漏洩を防ぐための最重要ミッションです。
Google Workspaceには、こうしたユーザーの活動を詳細に記録し、不審な動きを調査するための強力な「監査ログ(Audit log)」機能が備わっています。
今回Googleから発表されたのは、この監査ログの機能と記録される情報(フィールド)を大幅に拡充し、より精緻で高度なセキュリティ分析を可能にする一連のアップデートです。
セキュリティ調査ツール(Security investigation tool)におけるフィルタリングの強化や、外部のセキュリティ運用基盤(SecOps)との連携強化など、企業が直面する複雑なサイバー脅威や内部不正に立ち向かうための強力な武器が追加されました。
本日は、この多岐にわたる監査ログの機能強化について、それぞれのアップデートが実務においてどのような価値をもたらすのかを分かりやすく解説いたします。
組織のデータガバナンスとインシデント対応力を高めたいIT部門の皆様は、ぜひ最後までお読みいただき、社内のセキュリティ運用のアップデートにお役立てください。
1. 監査ログ機能強化の全体像
今回のアップデートは、単一の機能追加ではなく、Google Workspaceの様々な管理ツールやAPIにまたがる複数の強化策(エンハンスメント)のパッケージとして提供されます。
大きく分けて以下の4つの柱から構成されています。
- セキュリティ調査ツールにおける「リソース」フィールドのフィルタリング強化(Gmail・Google ドライブ)
- Google Security Operations(SecOps)連携における「アプリケーション」および「ネットワーク」フィールドの追加
- Admin SDK(Reports API)におけるフィルタリング機能の拡張
- Admin SDKおよびBigQueryに書き出されるイベントへの「OwnerDetails(所有者詳細)」フィールドの新規追加
それぞれのアップデートがどのように実務を助けるのか、詳しく見ていきましょう。
2. セキュリティ調査ツールのフィルタリング強化(Gmailとドライブ)
管理コンソールに備わっている「セキュリティ調査ツール」は、組織内で発生したセキュリティインシデントを迅速に特定し、対処するための中心的なダッシュボードです。
今回のアップデートにより、このツール内でGmailとGoogle ドライブのログイベントを検索する際、「リソース(Resources)」属性に対するフィルタリング機能が大幅に改善されました。
最大のポイントは、「分類ラベル(Classification labels)」を利用して、より粒度の細かい(グラニュラーな)検索を実行できるようになったことです。
企業において「分類ラベル」は、例えば「社外秘」「個人情報含む」「プロジェクトX専用」といった形で、機密性の高いコンテンツを識別し、セキュリティポリシーを適用するための不可欠なメタデータです。
今回の改善により、管理者は「『社外秘』という分類ラベルが貼られたドライブのファイルに対して、過去1週間に外部へ共有する操作を行ったログだけを抽出する」といった高度な検索が可能になります。
これは、データの利用パターンを分析したり、機密情報に関するセキュリティインシデントの初動調査を行ったりする上で、極めて重要な機能強化となります。
さらに、Gmailのログイベント検索において、操作を実行した「アクター(実行者)のアプリケーション情報」属性によるフィルタリングもサポートされるようになりました。これにより、特定のサードパーティ製アプリ経由で行われた不正なメール送信などを特定しやすくなります。
3. Google SecOps連携の強化:アプリケーションとネットワーク情報の拡充
大規模な組織では、Google Workspace単体のログだけでなく、社内のあらゆるシステムのログを統合して監視・分析する「Google Security Operations(旧Chronicle SecOps)」を活用し、インサイダーリスク(内部不正)や高度なサイバー攻撃をモニタリングしています。
今回のアップデートにより、WorkspaceからSecOpsへ送信される監査イベントの中に、新たに「アプリケーション(Application)」と「ネットワーク(Network)」に関連する詳細なフィールドが追加で含まれるようになります(該当するデータがある場合)。
これにより、SecOpsの画面上で、「どのIPアドレスから、どのデバイスを使って、どんなアプリ経由でアクセスがあったのか」といった通信の文脈(コンテキスト)をより深く理解し、精度の高い脅威検知アラートを構築することが可能になります。
4. Admin SDK APIの拡張と「OwnerDetails」の新規追加
自社でカスタムの監視ツールを開発している企業や、大量のログを自動抽出している企業にとって重要なのが、APIの機能強化です。
Admin SDK(Reports API)のフィルタリング拡張
Activities.Listメソッドにおいて、以下の2つの新しいフィールドで監査ログを直接フィルタリングできるようになりました。
- RegionCode(地域コード):APIリクエスト内の
networkInfoFilterフィールドを使用し、特定の地域(国など)から発生した監査ログだけを抽出できます。海外からの不審なアクセスを監視する際に有効です。 - OAuthClientId(OAuthクライアントID):
applicationInfoFilterフィールドを使用し、特定の連携アプリ(OAuthアプリ)によって実行されたアクションのログのみを抽出できます。シャドーITの監視に役立ちます。
Admin SDKとBigQueryへの「OwnerDetails(所有者詳細)」の追加
さらに、Admin SDKおよびデータウェアハウスである「BigQuery」へエクスポートされるイベントのリソース詳細(Resource Details)の中に、新しく「OwnerDetails」というフィールドが追加されました。
このフィールドは、そのファイルやリソースを「誰が(何が)所有しているか」を正確に特定するためのもので、以下の2つの主要な情報を提供します。
- Owner Type(所有者の種類):所有者のカテゴリを指定します。「個人のユーザー(USER)」「組織全体(CUSTOMER)」「グループ(GROUP)」「共有ドライブ(SHARED_DRIVE)」のいずれかが記録されます。
- Owner Identity(所有者の識別情報):その所有者の具体的なIDやメールアドレスが含まれます。
これにより、例えば共有ドライブからファイルが削除されたログを見た際に、「そのファイルは元々どの共有ドライブの所属(所有)だったのか」を即座に特定でき、ログの追跡性が大幅に向上します。
5. ご利用の準備と確認事項
これらの高度な機能を利用するために、Google Workspaceの管理者様やエンドユーザー様が行うべき特別な設定や、事前の有効化作業はありません。
管理者の皆様へ
機能が展開され次第、セキュリティ調査ツール、Admin SDK(Reports API)、連携済みのSecOps、またはエクスポート先のBigQueryにおいて、新しいフィールドや検索機能を使用した分析をすぐに開始することができます。
詳細な仕様や使い方については、Google公式のヘルプセンター「セキュリティ調査ツールについて」や「Google Security Operations へのログイベントのエクスポート」をご参照ください。
エンドユーザーの皆様へ
本機能は、システムの裏側(管理・監視基盤)に関するアップデートであるため、エンドユーザー側で行う設定や操作は一切ありません。
6. 展開スケジュールと対象となるお客様
この機能強化は、監査ログ機能の要件を満たすお客様に向けて順次展開されます。
展開スケジュール
本機能は、即時リリースドメインおよび計画的リリースドメインの両方において、すでに段階的なロールアウトが開始されています(最大15日程度)。
対象となるお客様(エディション制限に注意)
本機能は、監査ログ機能を利用できる適切なGoogle Workspaceライセンスをご契約のお客様が対象となります。
【注意点】今回のアップデートの目玉の一つである「分類ラベル(Classification labels)」を利用したフィルタリング機能については、高度な情報ガバナンス機能を提供する一部の上位エディション(Enterprise Plusなど)でのみ利用可能となります。ご契約中のエディションで分類ラベル機能がサポートされているかについては、Google Workspaceのエディション比較表をご確認ください。
7. まとめ:見えない脅威を可視化する「ログの力」
本日は、Google Workspaceの監査ログ機能に関する多岐にわたるアップデートについて解説いたしました。
クラウド環境において、データは常に社内外の様々な場所から、様々なデバイスやアプリを通じてアクセスされています。この複雑な環境下で組織の安全を守るためには、システムが残す「足跡(監査ログ)」をいかに素早く、そして正確に分析できるかが勝負の分かれ目となります。
今回のアップデートは、単にログの項目を増やしただけではありません。「分類ラベル」というデータそのものの価値づけ(機密性)とログを掛け合わせることで、管理者が「本当に調査すべき危険な操作」だけをピンポイントで抽出できる、極めて実用的で強力な調査能力を提供しています。
すでに上位エディションをご利用のセキュリティ担当者の皆様は、ぜひセキュリティ調査ツールを開き、新しい分類ラベルを使った検索クエリを試してみてください。
そして、これからクラウドツールの導入やプランのアップグレードを検討されている方は、こうしたインシデント発生時の「圧倒的な調査能力(フォレンジック能力)」を標準で提供するGoogle Workspaceのエンタープライズ品質を、ぜひご評価いただければ幸いです。