Google Driveを利用している企業では、外部共有ファイルの管理が監査対応において重要な課題となっています。外部との共同作業は便利ですが、意図しない情報漏洩を防ぐためには、誰がどのファイルを外部と共有しているかを把握する必要があります。しかし、Google Driveの設定画面だけでは一覧化が難しく、管理者がどのように調査すればよいか悩むことも少なくありません。本記事では、Google Workspace管理者向けに、外部共有ファイルを効率的に一覧化する方法と、そのための設定見直しのポイントを解説します。
【要点】この記事で確認すること
- 最初に見る場所: Google管理コンソールの「レポート」→「監査レポート」→「ドライブ」です。ここで共有アクティビティを確認できます。
- 切り分けの軸: 管理者側の設定(共有許可範囲、監査ログ設定)と、ユーザー側の操作(ファイルの共有方法)です。一覧化には管理者権限が必要です。
- 注意点: 会社のPCで管理者以外が無断で設定を変更することは避けてください。VaultやAPIの利用には追加ライセンスが必要な場合があります。
ADVERTISEMENT
目次
外部共有ファイルの一覧化が必要な背景
企業の情報管理部門やシステム管理者にとって、Google Drive上の外部共有ファイルを定期的に監査することは、情報漏洩リスクを低減するために欠かせません。取引先とのファイル共有は業務上必要ですが、共有範囲が広がりすぎると機密情報が意図せず外部に公開される可能性があります。また、内部統制やコンプライアンスの観点からも、外部共有の実態を把握し、適切な設定に是正することが求められます。特に監査対応では、特定の期間内に外部と共有されたファイルの一覧を提出する必要が生じることがあります。そのため、管理者は事前に一覧化の方法を理解し、必要な設定を整えておくことが重要です。
外部共有の設定を確認する(管理者コンソール)
共有設定の現状確認
まず、Google管理コンソールに管理者アカウントでログインします。 「アプリ」→「Google Workspace」→「ドライブとドキュメント」→「共有設定」を開きます。ここで、組織全体の外部共有のデフォルト設定が確認できます。例えば、「組織外のユーザーとファイルを共有できる」や「リンクを知っている全員がアクセスできる」などの設定が有効になっていないか確認します。監査を実施する前に、これらの設定が適切であるかを見直す必要があります。特に「リンクを知っている全員」に設定されていると、外部共有ファイルが一覧化しにくくなることがあります。可能であれば、「制限付き」または「組織内のユーザーのみ」に変更することを検討します。
監査ログの利用
Google管理コンソールの「レポート」→「監査レポート」→「ドライブ」から、ファイルの共有アクティビティを確認できます。ここでは、ユーザーごとの外部共有操作や、ファイルの権限変更履歴を検索できます。条件を指定して、特定の期間や特定のユーザーの操作をフィルタリングできます。例えば、「イベント名」で「アクセス権の付与」や「ファイルの共有」を選択し、対象ユーザーやファイルIDを指定します。この監査ログのデータは、CSVやGoogle BigQueryにエクスポートすることで、より詳細な分析が可能です。管理者は定期的にこのログを確認して、異常な共有がないかチェックすることが推奨されます。
外部共有ファイルを一覧化する具体的な方法
方法A:Google管理コンソールの監査レポートをエクスポート
監査レポートから直接CSVをダウンロードする方法です。手順は以下の通りです。
- 管理者アカウントで管理コンソールにログインします。
- 「レポート」→「監査レポート」→「ドライブ」を選択します。
- 「フィルタを追加」で「イベント名」を「アクセス権の付与」に設定します。
- 必要に応じて日付範囲やユーザーを絞り込み、「検索」をクリックします。
- 結果が表示されたら、「すべてをCSVにダウンロード」または「エクスポート」をクリックします。
- ダウンロードしたCSVを開き、外部ユーザーへの共有が含まれている行を抽出します。通常、「共有タイプ」や「ドメイン」列で外部か内部かを判別できます。
この方法は追加コストがかからず手軽ですが、大量のデータを扱う場合に時間がかかることがあります。また、監査ログの保持期間はエディションによって異なります(例:Business Standardでは30日、Enterpriseではそれ以上)。
方法B:Google Vaultを利用する
Google Vaultは、電子証拠開示(eDiscovery)のためのツールです。特定の条件に合致するファイルを検索し、外部共有ファイルの一覧を取得することも可能です。ただし、Vaultは主に法的な調査やアーカイブ用途であり、通常の監査目的で使用するにはライセンス費用がかかります。VaultのライセンスはBusiness Plus以上で利用可能です。管理者はVaultで「ドライブ」の「共有」を対象に検索ルールを作成し、結果をエクスポートできます。Vaultの詳細な操作方法は別記事を参照してください。
方法C:Google Drive APIを使ったカスタムスクリプト
より柔軟な一覧化が必要な場合は、Google Apps ScriptやCloud Functionsを使って、Drive APIから権限情報を取得する方法があります。例えば、組織内の全ファイルをスキャンし、外部ユーザーが権限を持つファイルをリストアップするスクリプトを作成します。ただし、大量のファイルを扱う場合にはAPIの割り当て制限に注意が必要です。また、Apps Scriptを実行するには適切な認証スコープを設定する必要があります。この方法は技術的な知識が必要ですが、カスタマイズ性が高いという利点があります。
状況別の方法比較表
| 方法 | 必要な権限 | コスト | 取得できる情報 | 処理速度(大量データ) |
|---|---|---|---|---|
| 管理コンソール監査レポートのエクスポート | 管理者権限 | 無料(基本) | イベントログ(誰がいつ共有したか) | 中程度(フィルタ次第) |
| Google Vault | Vault管理者権限 | 追加ライセンス必要 | 特定条件に合うファイルの一覧(共有範囲含む) | 比較的高速 |
| Drive API(カスタムスクリプト) | APIアクセス権限(管理者承認必要) | 無料(但しAPI制限あり) | ファイルレベルの権限情報(任意の属性) | 低速(ファイル数に依存) |
外部共有を制限する設定見直し
共有設定の変更
一覧化した結果、不適切な外部共有が多数発見された場合は、共有設定自体を見直すことをお勧めします。管理コンソールの「ドライブとドキュメント」→「共有設定」で、外部共有の許可範囲を「組織外のユーザーとファイルを共有できない」または「許可する場合でも、招待されたユーザーのみ」に変更します。また、「リンクを知っている全員」の設定を不可にすることも重要です。さらに、「外部共有の警告」を有効にすると、ユーザーがファイルを外部共有しようとしたときにアラートが表示され、注意を促すことができます。
データ損失防止(DLP)ルールの設定
Google WorkspaceのDLPを利用すると、機密情報を含むファイルが外部共有された場合に自動的にアクションを起こせます。例えば、クレジットカード番号や社外秘のラベルが付いたファイルが外部共有されたら、管理者に通知したり、共有をブロックしたりできます。DLPルールは管理コンソールの「セキュリティ」→「データ損失防止」から設定します。ルールのスコープを「ドライブ」に設定し、検出する情報タイプやアクションを定義します。これにより、監査の負荷を軽減しつつ、リスクを低減できます。
失敗パターンとその対処
外部共有ファイルの一覧化作業でよくある失敗パターンを紹介します。一つ目は、管理者権限が不足しているケースです。監査レポートやAPIにアクセスするには、適切な管理者ロールが必要です。「レポート」の権限や「ドライブの管理」権限が付与されていないと、必要なデータを取得できません。事前に管理者の役割を確認しましょう。二つ目は、監査ログの保持期間を過ぎているケースです。古いデータを取得しようとしても、ログが残っていない場合があります。監査が必要な期間に合わせて、ログ保持設定を確認し、必要に応じてBigQueryへのエクスポートを設定しておくとよいでしょう。三つ目は、APIのクォータ制限に達するケースです。大量のファイルを一覧化しようとすると、Drive APIのクォータ(1日あたりのリクエスト数)を超えることがあります。その場合は、バッチ処理やページネーションを適切に扱うスクリプトを実装する必要があります。
管理者に確認すべき情報
監査担当者が管理者に事前に確認すべき情報をまとめます。まず、現在の外部共有設定のポリシーです。デフォルトでどの範囲まで許可されているかを把握しておかないと、一覧化の対象範囲を誤る可能性があります。次に、利用可能なGoogle Workspaceエディションです。VaultやDLP、BigQueryへのログエクスポートが利用できるかどうかはエディションに依存します。また、ログの保持期間もエディションにより異なるため、監査対象期間がカバーされているか確認が必要です。最後に、Googleドライブ内のファイル数やアカウント数といったスケール感です。大量のデータを扱う場合、管理コンソールの監査レポートのエクスポートでは時間がかかるため、BigQueryやAPIを使った方法を検討する必要があります。
よくある質問(FAQ)
Q1. 一般ユーザーでも自分の外部共有ファイルを一覧化できますか?
A. 一般ユーザーは自分のマイドライブ内のファイルごとに共有設定を確認することはできますが、一覧として抽出する機能は提供されていません。管理者が管理コンソールやAPIを使って取得する必要があります。
Q2. 監査レポートに表示されない共有アクティビティはありますか?
A. 基本的にはほとんどの共有操作が記録されますが、一部の自動処理(例:グループ共有の継承)などはログに残らない場合があります。また、共有リンクの作成自体はログに残りますが、リンクのクリックやアクセスはGoogle Workspaceの監査ログの対象外です(アクセスログは別途Cloud Audit Logsで取得可能な場合があります)。
Q3. 外部共有ファイルを一覧化するのに最適な方法はどれですか?
A. 組織の規模や予算、技術力によって異なります。小規模で手軽に始めたい場合は管理コンソールの監査レポートエクスポートがおすすめです。中規模以上で継続的に監査するなら、BigQueryへのログエクスポートとLooker Studioでの可視化が有効です。Vaultは主に訴訟対策で使用します。
Q4. 外部共有を禁止した場合、既存の共有はどうなりますか?
A. 設定変更後も既存の共有は自動的には解除されません。手動で権限を削除するか、管理コンソールの「ドライブ」で一括操作(例:外部ユーザーの権限を削除)を行う必要があります。また、DLPルールを使って自動的に権限を削除することも可能です。
Q5. APIを使う場合の注意点は?
A. Google Drive APIを利用するには、Google Cloud Platformでプロジェクトを作成し、APIを有効化してOAuth同意画面を設定する必要があります。管理者による承認が必要であり、APIクォータの上限に注意してください。また、権限情報を取得するスコープ(https://www.googleapis.com/auth/drive.readonly など)を適切に設定します。
まとめ
Google Driveの外部共有ファイルを一覧化するには、管理コンソールの監査レポート、Vault、Drive APIの3つの主要な方法があります。それぞれにメリットと制約があるため、自社のニーズやリソースに合わせて選択することが重要です。また、一覧化だけでなく、共有設定の見直しやDLPルールの導入により、根本的なリスクを低減することも併せて検討しましょう。定期的な監査と適切な設定管理により、外部共有に伴う情報漏洩リスクを効果的にコントロールすることができます。本記事が、管理者の方々の監査対応の一助となれば幸いです。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Google Driveの人気記事ランキング
- 【SharePoint】SharePointで「同期」ボタンが表示されない時の確認手順
- 【PDF】スマホからPCへPDFをケーブル無しで送る!クラウド(Googleドライブ/iCloud)同期の基本
- 【SharePoint】ドキュメントライブラリを開けない時のアクセス許可と保存場所チェック
- 【Googleスプレッドシート】テンプレートギャラリーを使い倒すコツ!業務別の活用例
- 【Googleスプレッドシート】Apps Scriptが動かない・実行されない時のチェックポイント
- 【Googleスプレッドシート】Googleフォームの回答エクスポート!CSVダウンロードの操作
- 【Googleドキュメント】WordファイルをDocs形式に変換!互換性と書式維持
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleドキュメント】AndroidからWordファイル開く!アプリ選択の指定
- 【OneDrive】OneDriveで同期済みなのにスマホから開けない時に見直す保存場所と同期設定