Google Workspace の監査ログ

このドキュメントでは、Google Workspace が Cloud Audit Logs の一部として提供する監査ログの概要を説明します。

Google Workspace 監査ログの管理については、Google Workspace の監査ログを表示して管理するをご覧ください。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。Google Workspace 監査ログを Google Cloud と共有して、Google Workspace データの保存、分析、モニタリング、アラートを行うことができます。

Google Workspace の監査ログは、Cloud Identity、Cloud Identity Premium、すべての Google Workspace のお客様がご利用いただけます。

Google Cloud で Google Workspace データの共有を有効にしている場合、Google Workspace で常に監査ログが有効になります。

Google Workspace データの共有を無効にすると、新しい Google Workspace 監査ログのイベントが Google Cloud に送信されなくなりますが、カスタム保持を構成してログを長期間保持する場合を除き、既存のログはデフォルトの保持期間を通じて保持されます。

Google Cloud との Google Workspace データの共有が有効になっていない場合、Google Cloud で Google Workspace の監査ログを表示できません。

監査ログの種類

管理アクティビティ監査ログには、リソースの構成またはメタデータを変更する API 呼び出しやその他の管理アクションに関するログエントリが含まれます。このログは、たとえば、ユーザーが VM インスタンスを作成したときや、Identity and Access Management（IAM）権限を変更したときに記録されます。

データアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログには、一般公開されているリソース（すべてのユーザーまたは認証済みのすべてのユーザーが利用可能）や、Google Cloud、Google Workspace、Cloud Identity、Drive Enterprise のアカウントにログインせずにアクセスできるリソースのデータアクセス操作は記録されません。

監査ログを Google Cloud に転送する Google Workspace サービス

Google Workspace は、次のように Google Cloud 組織レベルで監査ログを提供します。

• Google Workspace 管理監査: 管理者の監査ログには、Google 管理コンソールで行われた操作の記録が表示されます。たとえば、管理者がユーザーを追加した日時や Google Workspace サービスを有効にした日時を確認できます。 管理監査ログは、管理アクティビティ監査ログのみを書き込みます。

• Google Workspace Enterprise グループの監査ログ: Enterprise グループの監査ログは、グループとグループ メンバーシップに対して行われたアクションの記録を提供します。たとえば、管理者がいつユーザーを追加したか、グループ オーナーがいつグループを削除したかを確認できます。

  Enterprise グループの監査ログは、管理アクティビティ監査ログのみを書き込みます。

• Google Workspace Login の監査: ログインの監査ログは、ドメインへのユーザー ログインを追跡します。これらのログにはログイン イベントのみが記録されます。どのシステムがログイン操作の実行に使用されたかは記録されません。

  ログイン監査は、データアクセス監査ログのみを書き込みます。

• Google Workspace OAuth トークン監査: OAuth トークン監査ログは、ドメイン内でどのユーザーがどのサードパーティ製アプリを使用しているのかを追跡します。たとえば、Google Workspace Marketplace アプリをユーザーが起動すると、そのアプリ名とユーザーが記録されます。また、Google アカウント データ（Google コンタクト、カレンダー、ドライブ ファイルなど）へのアクセスがサードパーティ製アプリケーションに対して承認された場合も、その都度ログに記録されます（Google Workspace のみ）。

  OAuth トークン監査では、管理アクティビティ監査ログとデータアクセス監査ログの両方が書き込まれます。

• Google Workspace SAML 監査: SAML 監査ログは、ユーザーの SAML アプリケーションへのログインの成功と失敗を追跡します。通常、ユーザーの操作は 1 時間以内にログに記録されます。

  SAML Audit は、データアクセス監査ログのみを書き込みます。

サービス固有の情報

Google Workspace サービスの監査ログの詳細は次のとおりです。

監査ログに関する権限

IAM の権限とロールによって、Logging API、ログ エクスプローラ、Google Cloud CLI内の監査ログデータにアクセス可能かどうか判断されます。

必要となる組織レベルの IAM 権限とロールの詳細については、IAM を使用したアクセス制御をご覧ください。

監査ログ形式

Google Workspace 監査ログエントリには、次のオブジェクトが含まれています。

• ログエントリ自体。LogEntry タイプのオブジェクトです。監査ロギングデータを調べると、次のような場合に便利です。

  • logName には、組織 ID と監査ログタイプが含まれます。
  • resource: 監査対象オペレーションのターゲットが格納されます。
  • timeStamp: 監査対象オペレーションの時間が格納されます。
  • protoPayload の metadata フィールドには、Google Workspace 監査ログが含まれています。

protoPayload.metadata フィールドには、監査された Google Workspace の情報が格納されます。ログイン監査ログの例を次に示します。

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

サービス固有の監査ロギング フィールドとそれらを解釈する方法については、使用可能な監査ログに記載されているサービスを選択してください。

ログを表示

Google Workspace 監査ログの表示については、Google Workspace の監査ログを表示して管理するをご覧ください。

監査ログの転送

Google Workspace の監査ログは、Cloud Logging からサポートされている他のバケット（他の Logging バケットなど）にルーティングできます。

監査ログのルーティングに使用するアプリケーションは次のとおりです。

• より強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、Pub/Sub にルーティングします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にルーティングできます。

• 組織全体の監査ログを管理するには、集約シンクを作成します。これにより、組織に含まれているすべての Google Cloud プロジェクト、請求先アカウント、フォルダのログを組み合わせてルーティングできます。たとえば、監査ログエントリを組織のフォルダから Cloud Storage バケットに集約し、ルーティングできます。

ログの転送手順については、サポートされている宛先にログを転送するをご覧ください。

リージョン指定

Google Workspace のログを保存するリージョンは選択できません。Google Workspace のログは、Google Workspace のデータ リージョン ポリシーの対象外です。

保持期間

監査ログデータには次の保持期間が適用されます。

• Google Workspace のデータ保持ポリシー。

• Google Cloud Logging のデータ保持ポリシー。

Cloud Logging は、組織ごとに _Default バケットと _Required バケットの 2 つのバケットにログを自動的に保存します。_Required バケットには、管理アクティビティ監査ログ、システム イベント監査ログ、アクセスの透明性ログが保持されます。_Default バケットには、_Required バケットに保存されていない他のすべてのログエントリが保持されます。ログバケットの詳細については、転送とストレージの概要をご覧ください。

_Default ログバケットに 1 日～3,650 日の範囲でログを保持するように Cloud Logging を構成できます。

_Default ログバケットの保持期間を更新するには、カスタム保持をご覧ください。

_Required バケットでの保持期間は変更できません。

割り当てと上限

Google Workspace と Cloud Audit Logs の監査ログにも同じ割り当てが適用されます。

監査ログの最大サイズを含む、これらの使用量上限について詳しくは、割り当てと上限をご覧ください。

料金

Google Workspace の組織レベルのログは無料です。

次のステップ

• Google Workspace 監査ログを構成して管理する方法を学習する。
• Cloud 監査ログのベスト プラクティスを確認する
• Google Workspace のアクセスの透明性ログを表示して理解する方法を確認する。