【Notion】Notionの監査ログで外部共有の変更を追う時の確認ポイント

Notionを社内で利用していると、外部ゲストや公開リンクを介した情報共有が頻繁に行われます。外部共有は業務効率を高める一方で、意図しない情報漏洩のリスクも伴います。そのため、誰がいつどのような外部共有設定を変更したのかを把握するために、監査ログの確認が欠かせません。本記事では、Notionの監査ログを用いて外部共有の変更を追跡する際の具体的な確認ポイントを、実務に即して解説します。

外部共有の監査ログとは

Notionの監査ログは、ワークスペース内で行われた重要な操作を時系列で記録する機能です。Enterpriseプラン以上で利用でき、管理者は操作の透明性を確保できます。外部共有に関するイベントは、特にセキュリティ上の懸念から重点的に監視すべき項目です。

監査ログで確認できる外部共有イベントの例

外部共有に関連して監査ログに記録される主なイベントは以下のとおりです。

イベント名	内容
ゲスト追加	外部メールアドレスをゲストとして招待した操作
ゲスト削除	ゲストをワークスペースから削除した操作
公開リンク作成	ページに対して「インターネット上の全員」向けの共有リンクを作成した操作
公開リンク削除	公開リンクを無効化した操作
共有設定変更	ページ単位の共有権限(編集可能、閲覧のみなど)を変更した操作

これらのイベントは、日時、実行ユーザー、対象ページのURLとともに記録されます。監査ログは最低でも90日間保持されますが、ワークスペースのプランや設定によって保持期間が異なるため注意が必要です。

監査ログの表示方法とフィルター設定

監査ログ画面へのアクセス手順

監査ログを表示するには、ワークスペースの管理者権限が必要です。以下の手順でアクセスできます。

1. Notionの左サイドバーにある「設定とメンバー」をクリックします。
2. 「設定」タブを開き、「監査ログ」を選択します。
3. 必要に応じて、右上の「フィルター」ボタンをクリックして条件を指定します。
4. イベントカテゴリで「共有」を選択し、さらに特定のイベントタイプを選びます。
5. 期間や実行ユーザーを指定して絞り込んだら、「適用」をクリックして結果を確認します。

フィルター設定のポイント

外部共有の変更を追う場合、フィルターの設定が重要です。まずは「イベントカテゴリ」で「共有」を選択しましょう。次に「イベントタイプ」で「ゲスト追加」「ゲスト削除」「公開リンク作成」「公開リンク削除」「共有設定変更」などを必要に応じて選びます。日付範囲は調査対象の期間に合わせて設定します。実行ユーザーが不明な場合は空欄のままにし、結果を確認しながら絞り込むと効率的です。

また、検索結果はCSVでエクスポートできるため、大量のログを解析する場合はダウンロードしてExcelなどで加工するのがおすすめです。ただし、エクスポートには権限が必要な場合があります。

確認すべき主要なイベントとその解釈

ゲスト追加イベントの確認ポイント

ゲスト追加イベントでは、追加されたゲストのメールアドレスと、どのページに対してアクセス権が付与されたかが記録されます。もし承認されていないメールアドレスが追加されている場合は、すぐに該当ゲストを削除し、追加したユーザーに確認を取りましょう。また、ゲスト追加時に付与された権限(編集可能か閲覧のみか)もログに含まれています。権限が不適切な場合は、該当ページの共有設定を見直す必要があります。

公開リンク作成イベントの確認ポイント

公開リンク作成イベントは、インターネット上の誰でもアクセス可能なリンクを作成した操作を記録します。このイベントが頻繁に発生している場合、社内情報が外部に漏洩するリスクが高まります。対策として、ワークスペース全体で公開リンクの作成を禁止するポリシーを設定するか、作成後に自動で失効する設定を検討しましょう。通知ルールを設定して、公開リンク作成時に管理者にメールが届くようにすることも有効です。

失敗パターンとその対策

ログが見つからない、または件数が多すぎる

監査ログを検索しても該当するイベントが見つからない場合、考えられる原因は以下のとおりです。まず、操作が行われた期間がログの保持期間外である可能性があります。Enterpriseプランでは90日間ですが、それ以前のログは参照できません。次に、操作を行ったユーザーが管理者権限を持っていないためにログに記録されないケースはありませんが、一部の操作(例えば、ページ単位の共有設定変更)はログに残らないことがあります。また、大量のログがある場合、フィルターが適切に設定されていないと目的のイベントにたどり着けません。まずは期間を広めに取り、カテゴリを「共有」に固定して検索し、その後日付やユーザーで絞り込むと良いでしょう。

公開リンクの作成者が特定できない

公開リンク作成イベントには実行ユーザーが記録されているため、基本的には特定できます。しかし、API経由で作成されたリンクの場合、実行ユーザーが「システム」やインテグレーション名で表示されることがあります。その場合は、どのインテグレーションがリンクを作成したのかを別途調査する必要があります。インテグレーションの管理画面で該当アプリの活動ログを確認するか、連携しているサービスを洗い出しましょう。

管理者へ確認すべきこと

監査ログを効果的に活用するために、事前に管理者に以下の点を確認しておくとスムーズです。

• 監査ログの保持期間: 自社のプランでは何日間ログが保存されるか。Enterprise以外のプランではログ機能自体がない場合がある。
• エクスポートの権限: CSVエクスポートが可能かどうか。また、エクスポートしたデータの保存場所や管理ポリシー。
• 通知設定: 外部共有に関するイベントが発生した際に、管理者に自動通知する仕組みの有無と設定方法。
• セキュリティポリシー: 公開リンクの作成制限やゲストの追加承認フローなど、ワークスペース全体の設定を確認する。

よくある質問(FAQ)

Q: 監査ログに記録されない外部共有操作はありますか?

A: はい、一部の操作は監査ログに記録されません。例えば、ページの個別共有設定で権限を「編集可能」から「閲覧のみ」に変更した程度の操作はログに残らない場合があります。また、コメント機能を通じた外部ユーザーの@メンションなども別のイベントとして記録されます。重要なのは、すべての操作がログに残るわけではないという認識を持ち、補完的な監視手段と組み合わせることです。

Q: 過去にさかのぼってログを確認したいが、保持期間を過ぎている。

A: 保持期間を過ぎたログは復元できません。ただし、外部のログ管理サービス(SIEMなど)に監査ログを転送している場合は、そちらで過去データを参照できる可能性があります。今後はログを定期的にエクスポートして保存する運用を検討してください。

Q: 監査ログに表示される「実行ユーザー」が空欄になっている。

A: ごくまれに、システム内部の処理による操作の場合、実行ユーザーが空欄や「システム」と表示されることがあります。また、APIトークンを使用した操作でも同様の現象が発生します。このような場合は、前後のログや関連する操作から推測する必要があります。もし頻繁に発生するようであれば、Notionのサポートに問い合わせることをおすすめします。

まとめ

Notionの監査ログを活用することで、外部共有の変更履歴を追跡し、セキュリティリスクを早期に発見できます。確認の際は、イベントカテゴリ「共有」に注目し、ゲスト追加や公開リンク作成といった重要な操作を定期的にチェックしましょう。ログの保持期間やエクスポート機能を事前に把握しておくことで、より効果的な監視が可能になります。また、すべての操作が記録されるわけではないという点を理解し、必要に応じて通知設定やポリシー見直しと組み合わせることで、堅牢な情報管理体制を構築しましょう。

🧩

Notionトラブル完全解決データベース 共有、権限、データベース、Notion AI、インポートで止まる問題を横断的に確認できます。