「先月辞めた社員が、退職の直前に共有ドライブからごっそりファイルをダウンロードしていたようなんです。競合に持って行かれたんじゃないかと不安で。ただ、本当にそうだったのか、何をどれだけ持ち出したのか、こちらでは確かめようがなくて」——先日、社員三十名ほどの会社の経営者から受けた相談です。
情報の持ち出しや不正アクセスが疑われたとき、多くの中小企業は「誰が・いつ・何をしたか」を後から追えません。ログを見る習慣がなく、そもそもどこに記録が残るのかも知らないまま、疑いだけが残る——これは珍しいことではありません。Google Workspaceには、ユーザーの操作を記録する監査ログと、不審な兆候を管理者に知らせるアラートの仕組みが標準で備わっています。本記事では、事故が起きてから慌てないために、検知できる状態を先に作る進め方を、受託で伴走する立場から整理します。
「予防」だけでは足りない — 検知と追跡が抜けている
セキュリティ設定というと、多くの会社は「入られないようにする」予防に意識が向きます。2段階認証、パスワードポリシー、外部共有の制限——どれも大切で、パスキー・2段階認証の記事やアクセス制御(コンテキストアウェアアクセス)の記事で扱ってきたとおりです。
ですが、予防は万能ではありません。正規のアカウントを持つ社員が、権限の範囲内でファイルを大量にダウンロードする——これは「不正侵入」ではないため、予防の網では止まりません。だからこそ、「何かが起きたことに気づき、後から追える」検知と追跡が要ります。冒頭の相談のように、退職者の持ち出しや、乗っ取られたアカウントの不審な操作は、ログとアラートがなければ見えないのです。
監査ログ — 誰が・いつ・何をしたかの記録
Google Workspaceの管理コンソールには、操作の種類ごとに監査ログが記録されています。代表的なものを挙げます。
ドライブのログでは、誰がどのファイルをいつ閲覧・ダウンロード・共有・削除したかが分かります。退職前後に特定の社員のダウンロードが急増していれば、ここに痕跡が残ります。ログインのログでは、いつ・どこから(IPや地域)・どの端末でログインしたかが分かり、見慣れない海外からのログインなどを追えます。管理者ログでは、設定変更や権限付与といった管理操作の履歴が残ります。
これらは上位エディションほど保持期間が長く、詳細に追えます。中小企業でよく使うBusiness Standard以上であれば、ドライブやログインの主要なログを一定期間さかのぼって調査できます。重要なのは、事故が起きてから「ログはありますか」と聞くのでは遅いということ。どのログが・どれくらいの期間残る設定になっているかを、平時に確認しておく必要があります。
| 見たいこと | 使うログ | 分かること |
|---|---|---|
| 情報の持ち出し | ドライブのログ | 誰がいつ何をDL・共有・削除したか |
| 不審なログイン | ログインのログ | いつ・どこから・どの端末で入ったか |
| 設定の改ざん | 管理者ログ | 誰が権限や共有設定を変えたか |
アラートで「気づく」— 待ちの検知から攻めの検知へ
ログは「後から調べる」ためのものですが、それだけでは事故に気づくのが遅れます。そこでアラートセンターを使います。これは、不審なログイン、フィッシングの疑い、大量のファイル操作といった兆候を検知したときに、管理者へ通知を出す仕組みです。
たとえば「短時間に普段と違う地域からログインがあった」「マルウェアの疑いがあるメールが届いた」といったイベントを、待たずに知らせてくれます。上位エディションでは、特定の条件(例: 短時間での大量ダウンロード)に対して独自のルールを組み、検知したら自動で通知・対処する運用も可能です。「毎日ログを見る人がいない」中小企業ほど、アラートで受け身の検知を自動化する価値が大きいわけです。
事例: 退職者の持ち出しを「疑い」から「事実確認」に変えた会社
具体例を挙げます。冒頭のような退職者の持ち出しに一度ヒヤリとした会社(社名は伏せます)から、「次に同じことが起きたとき、ちゃんと確認できる状態にしたい」という相談を受けました。同社ではログを一度も見たことがなく、どこに何が残るかも把握していませんでした。
そこでまず、ドライブ・ログイン・管理者の各ログの保持状況を確認し、退職者が出る際にはドライブのログでダウンロード履歴を必ず点検する手順を退職時アカウント処理の記事の流れに組み込みました。あわせてアラートセンターの主要な通知を管理者のメールに届くよう整え、不審なログインや大量操作に平時から気づける状態にしました。数か月後、別の社員のアカウントに海外からの不審なログインがあった際、アラートで即座に気づいてパスワードを止め、被害を未然に防げました。効いたのは、「疑ったときに調べられる」「異常が起きたら気づける」土台を、事故の前に用意しておいたことでした。
いきなり高度な検知を狙わず、「保持の確認とアラート有効化」から
順番の注意です。SIEM連携や独自ルールの自動対処といった高度な検知は、中小企業がいきなり目指すものではありません。まずやるべきは、主要なログがどれくらい残る設定かを確認すること、そしてアラートセンターの通知を管理者に届くようにすることの二つです。この二つは追加費用なしで今日から効き、いざというときの「調べられる/気づける」を担保します。そのうえで、退職時のログ点検を手順に組み込み、必要に応じて独自ルールや長期保管(Vaultなど)を足していく。この順番なら、無理なく「見える化」を進められます。
情報の持ち出しが不安、退職者のたびにヒヤリとする、乗っ取りに気づける状態にしたい——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にご相談ください。ログの保持状況の確認から、アラートの設定、退職時の点検手順の整備、必要に応じた長期保管の設計まで、無理のない範囲でご一緒します。