Google Workspaceのセキュリティ調査がさらに進化！監査ログの新機能と拡張されたイベントフィールドを徹底解説

この記事は、https://workspaceupdates.googleblog.com/ にて2026年4月29日に公開された記事をもとに作成しています。

はじめに

皆様は、自社のGoogle Workspace環境でセキュリティインシデントが発生した際、原因や影響範囲を素早く特定できる体制が整っていますでしょうか。
テレワークの普及やクラウドサービスの利用拡大に伴い、企業のIT管理者にとってセキュリティログの監視と詳細な調査はこれまで以上に重要な業務となっています。
しかし、膨大なログデータの中から必要な情報を探し出し、「誰が」「どの端末から」「どのファイルに対して」何を行ったのかを正確に把握することは容易ではありません。
今回、Googleからそんな管理者の悩みを解決する、非常に頼もしいアップデートが発表されました。
Google Workspaceの管理コンソールにおける「監査ログ」のセキュリティ調査機能が大幅に強化され、ログから取得できる情報の種類と対象範囲が大きく広がりました。
本記事では、この新しい監査ログの機能強化が企業のセキュリティ運用にどのようなメリットをもたらすのか、その詳細と具体的な活用シーンを分かりやすく解説いたします。

1. なぜ今、監査ログの強化が重要なのか

企業がクラウドサービスを安全に運用するためには、「いつ・誰が・どこから・何をしたか」を記録するログの存在が不可欠です。万が一、内部の不正なデータ持ち出しや、外部からの不正アクセスによるアカウント乗っ取りが疑われる事象が発生した場合、IT部門は直ちにログ（記録）を遡り、事態の全容を解明しなければなりません。

Google Workspaceの管理コンソールには、インシデント対応を強力にサポートする「セキュリティ調査ツール」や「監査と調査ツール」が標準で備わっています。今回のアップデートは、これらのツールで検索・確認できる「ログの粒度（詳細さ）」と「カバーするアプリの範囲」を大幅に広げるものです。

今回の機能強化は、大きく分けて以下の3つのポイントに絞られます。

1. 1. リソース属性における「オーナー詳細（所有者情報）」の導入
   2. リソースおよびアクター（実行者）属性の「対応データソース（アプリ）」の大幅な拡張
   3. 複数のデータソースに対する「新しいデバイス情報」の導入

それぞれの強化ポイントについて、詳しく見ていきましょう。

2. 強化ポイント①：リソースの「オーナー（所有者）」が瞬時に特定可能に

セキュリティ調査を行っている際、「社外に共有されてしまったこのファイルは、一体誰が管理（所有）しているものなのか？」という疑問に直面することがあります。これまでは、ログに記録されたファイルIDなどから所有者をたどるのに手間がかかるケースがありました。

今回のアップデートにより、セキュリティ調査ツールや監査ログの「リソース」属性に、新しく「オーナー詳細（Owner details）」というフィールドが追加されました。これにより、調査の過程でリソースの所有者を迷うことなく素早く特定できるようになります。

この新しいフィールドは、主に以下の2つの要素（コンポーネント）で構成されています。

1. 1. • Owner Type（オーナーのタイプ）： そのリソースの所有者がどのようなカテゴリーに属しているかを示します。例えば、特定の「個人（User）」なのか、組織全体「（Customer）」なのか、あるいは「グループ（Group）」が所有しているのかが一目で分かります。
      • Owner Identity（オーナーのアイデンティティ）： オーナーの具体的なIDやメールアドレスが記録されます。「User A（a@example.com）」といった具体的な情報がダイレクトに表示されます。

この「オーナー詳細」フィールドは、ディレクトリ同期、Gmail、Google Meet、Google グループ、Google Keep、Looker Studio、Google ドライブ、Meet ハードウェア、Google Chat、管理アクション、データ移行、Chrome、Google Voice、Google カレンダー、Google Vault、課題（Assignments）、Groups enterpriseといった、リソースフィールドが存在するすべてのデータソース（ログイベント）で利用可能となります。

3. 強化ポイント②：ログで追跡できる情報カバレッジの大幅な拡大

企業のIT管理者は、Google Workspace内の多様なサービスを横断して、ユーザーの行動を完全に把握できる「全体像（コンプリートビュー）」を求めています。「ドライブのログは細かく取れるが、他のアプリは情報が足りない」といった死角があってはなりません。

この死角をなくすため、Googleはセキュリティ調査ツールにおいて、非常に重要な2つの属性の適用範囲（データソース）を以下のように拡大しました。

リソース（Resources）属性の拡大

操作の対象となったアイテム（ファイルや設定など）を示す「リソース」属性が、新しく以下のログイベントでも取得できるようになりました。

1. 1. • Chrome
      • Google Voice
      • Google Vault
      • 課題（Assignments）

アクターアプリケーション情報（Actor application info）の拡大

アクションを実行したアプリケーション（APIやサードパーティ製アプリなど）を特定する「アクターアプリケーション情報」が、以下のログイベントに拡張されました。

1. 1. • Chrome
      • Google Voice
      • Google グループ
      • Google Meet
      • 課題（Assignments）
      • 管理データアクション（Admin data action）

これにより、例えば「どのサードパーティ製アプリを経由してGoogle グループの設定が変更されたのか」といった複雑な調査も、よりスムーズに行えるようになります。

4. 強化ポイント③：不正アクセスの特定に直結する「詳細なデバイス情報」の取得

サイバー攻撃や情報漏洩のリスクが高まる中、システム管理者が最も知りたい情報の一つが「どこの、どんな端末からその操作が行われたのか」という文脈（コンテキスト）です。

今回のアップデートの目玉とも言えるのが、「ユーザーデバイス情報（User device info）」という強力な属性の追加です。この属性が導入されたことで、管理者はアクションを実行したデバイスに関する極めて詳細な情報をログから直接確認できるようになりました。

具体的には、以下のような情報がログに記録されます。

1. 1. • ユーザーデバイスID（User device ID）： 端末を一意に識別するID
      • ユーザーデバイスのOSバージョン（User device OS version）： 端末が使用しているOSの種類とバージョン
      • ユーザーデバイスタイプ（User device type）： DESKTOP_MAC（Macのデスクトップ）、DESKTOP_WINDOWS（Windowsのデスクトップ）といった端末の種別

例えば、「普段はWindows PCからしかアクセスしないはずの従業員のアカウントで、深夜にMacから大量のファイルがダウンロードされている」といった異常なふるまいを、デバイスの種類から即座に検知・調査することが可能になります。

この詳細なデバイス情報は、連絡先、Gemini workspace、Google Keep、Meet ハードウェア、Google Chat、Chrome、ディレクトリ同期、Google ドライブ、Google グループ、Google Meet、ルール、Looker Studio、SAMLといった非常に多くのログソースで利用できるようになります。

5. サードパーティツールとの連携と利用開始に向けたステップ

これらの新しく追加・拡張されたログフィールドは、Google Workspaceの管理コンソール上（監査と調査ツール）で確認できるだけでなく、高度な分析ツールへのエクスポートにも対応しています。

Admin SDK（Reports API）、Google SecOps、BigQueryといった外部ツールにログをエクスポートして分析を行っている企業にとっても、これらの新しいフィールドはそのまま利用可能です。自社のSIEM（セキュリティ情報イベント管理）ツールなどと連携させ、より高度な脅威検知ルールの作成にお役立てください。

利用開始のためのアクション

1. 1. • システム管理者の皆様へ： 新しい機能は自動的に展開されます。機能が利用可能になり次第、監査と調査ツール、API、SecOps、またはBigQueryでの分析にこれらの新しいフィールドを組み込んでみてください。
      • エンドユーザーの皆様へ： 本機能は管理者向けのバックエンド機能であるため、一般のユーザー画面に変更が生じたり、ユーザー側で設定を行ったりする必要はありません。

6. 展開スケジュールと対象エディション

本アップデートは、以下のスケジュールと対象プランに沿って提供されます。

ロールアウト（展開）のペース

即時リリース（Rapid Release）および計画的リリース（Scheduled Release）の両ドメインにおいて、2026年4月29日より段階的に展開が開始されます。機能が管理コンソールに完全に表示され、利用可能になるまでには最大で15日程度かかる場合があります。

利用可能なエディション

この機能は、監査ログ機能を提供する適切なライセンスが含まれているすべてのGoogle Workspaceエディションで利用可能です。エディションによって利用できる監査ツールの種類（標準の監査ログか、高度なセキュリティ調査ツールか）が異なる場合がありますので、詳細は自社の契約内容とヘルプセンターをご確認ください。

まとめ：ログの可視化で、より強固なセキュリティ体制を構築

セキュリティインシデントは「起きないこと」が理想ですが、万が一発生してしまった際に「いかに早く正確に事態を収拾できるか」が企業の信頼を左右します。
今回発表されたGoogle Workspaceの監査ログの強化は、まさにその「事態の収拾と原因究明のスピード」を劇的に引き上げるためのアップデートです。

オーナー情報の明確化、対応アプリの拡大、そして詳細なデバイス情報の取得という3つの武器を手に入れたことで、IT管理者は暗闇の中で手探りをするような調査から解放されます。
ログの可視性が高まることは、そのまま組織のセキュリティレベルの向上に直結します。システム管理者の皆様は、機能が展開され次第、新しい監査ログのフィールドを確認し、自社のインシデント対応マニュアルや監視ルールのアップデートをぜひご検討ください。