ポリシー準拠のログイベント

ポリシー準拠のログイベントにアクセスするには、Google Workspace の Assured Controls または Assured Controls Plus のアドオンが必要です。詳しくは、営業担当者までお問い合わせください。

組織の管理者は、ポリシー準拠に関連するセキュリティの問題を検索して対処できます。たとえば、ポリシー準拠のログイベントのデータソースを使用すると、特定の日にユーザーのデータが米国またはヨーロッパに保存されたかどうか、データ処理も地域別に行われたかどうか、データリージョンの詳細設定のいずれかがオンまたはオフにされたかどうかを確認できます。

ログイベントを検索する

検索を行えるかどうかは、ご利用の Google Workspace エディション、ご自身の管理者権限、データソースによって異なります。ユーザーに対する検索は、ユーザーが使用している Google Workspace のエディションに関係なく、全ユーザーを対象に行えます。

監査と調査のツール

ログイベントを検索するには、まずデータソースを選択します。次に、検索に使うフィルタを 1 つ以上選択します。

Google 管理コンソールで、メニューアイコン [レポート] [監査と調査] [ポリシー準拠のログイベント] に移動します。

ポリシー準拠のログイベントに移動

アクセスするには、監査と調査の管理者権限が必要です。
[フィルタを追加] をクリックします。属性を選択します。たとえば、特定のイベントタイプでフィルタするには、[イベント] を選択します。
演算子を選択値を選択 [適用] をクリックします。
- （省略可）検索に使うフィルタを複数作成する場合は、この手順を繰り返します。
- （省略可）検索演算子を追加するには、[フィルタを追加] の上で [AND] または [OR] を選択します。
[検索] をクリックします。
注: [フィルタ] タブを使用して、検索結果をフィルタする単純なパラメータと値のペアを追加できます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタ条件を AND/OR 演算子で表します。

セキュリティ調査ツール

セキュリティ調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。その後、検索条件ごとにそれぞれ属性、演算子、値を選択します。

Google 管理コンソールで、メニューアイコン [セキュリティ] [セキュリティセンター] [調査ツール] に移動します。

調査ツールに移動

調査ツールを開くには、セキュリティセンターの管理者権限が必要です。
[データソース] をクリックし、[ポリシー準拠のログイベント] を選択します。
[条件を追加] をクリックします。
ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。
[属性] をクリックオプションを選択します。たとえば、特定のイベントタイプでフィルタするには、[イベント] を選択します。
属性の一覧については、属性の説明をご覧ください。
演算子を選択します。
値を入力するか、リストから値を選択します。
（省略可）検索条件を追加するには、上記の手順を繰り返します。
[検索] をクリックします。
調査ツールの検索結果は、ページ下部の表で確認できます。
（省略可）調査を保存するには、保存アイコンをクリックタイトルと説明を入力 [保存] をクリックします。

注

[条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
検索できるのは、ゴミ箱からまだ削除されていないメールのデータのみです。

属性の説明

このデータソースでは、ログイベントデータの検索時に次の属性を使用できます。

属性	説明
リソース名	ユーザーの名前
リソース ID	ユーザーのメールアドレス
リソースの種類	アクターの組織部門
アプリケーション ID	参照するエンティティの種類（「ユーザー」など）
イベント	このレコードについて、リージョンポリシーの適用を参照するのか、非リージョン型プロセスの詳細設定を参照するのかを指定します。リージョンポリシーの適用非リージョン型プロセスポリシーの適用
データリージョンポリシーのタイプ	ユーザーに割り当てられたリージョンと、それがストレージに適用されるか、ストレージと処理の両方に適用されるか（「データリージョン: リージョン」など）。
データリージョンポリシー	ユーザーに割り当てられたリージョンおよび、それがストレージに適用されるか、ストレージと処理の両方に適用されるかを指定します。ユーザーに Assured Controls または Assured Controls Plus のライセンスがない場合、[Assured Controls が必要です] と表示されます。それ以外の場合、この属性は次のいずれかになります。米国（保存のみ）米国（保存および処理）ヨーロッパ（保存のみ）ヨーロッパ（保存および処理）設定なし
IP ASN この列を検索結果に追加する必要があります。手順については、検索結果の列データを管理するをご覧ください。	ログエントリに関連付けられた IP 自律システム番号（ASN）、サブディビジョン、リージョン。アクティビティが発生した IP ASN、サブディビジョン、リージョンコードを確認するには、検索結果の名前をクリックします。
非リージョン型プロセスポリシーの種類	このレコードが参照する詳細設定を指定します。ユーザーに Assured Controls または Assured Controls Plus のライセンスがない場合、[Assured Controls が必要です] と表示されます。それ以外の場合、この属性は次のいずれかになります。データリージョン: Google Chat と従来のハングアウトの非リージョン型プロセスデータリージョン: Google Meet の非リージョン型プロセスデータリージョン: Google ドライブと Google ドキュメントの非リージョン型プロセスデータリージョン: Google カレンダーの非リージョン型プロセスデータリージョン: Gmail の非リージョン型プロセス
非リージョン型プロセスポリシー	ポリシータイプに関連付けられた値。以下のいずれかです。有効無効
データリージョンのバージョン	ユーザーが使用しているデータリージョンのバージョン。次のいずれかになります。なし基本教育 Enterprise Assured Controls 詳細については、データリージョンの機能を比較するをご覧ください。

検索結果に基づいて対応する

セキュリティ調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、ポリシー準拠のログイベントに基づいて検索を実行し、問題が見つかった場合はデータリージョンポリシーを変更できます。セキュリティ調査ツールの操作について詳しくは、検索結果に基づいて対応するをご確認ください。

調査を管理する

調査のリストを表示する

自分がオーナーとなっている調査と、自分が共有メンバーとなっている調査のリストを表示するには、[調査を表示] をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。

このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。

注: 保存した調査は、調査リストのすぐ上にある [クイックアクセス] で確認できます。

調査の設定を行う

特権管理者は、設定アイコンをクリックして、次の操作を行うことができます。

調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
[要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご覧ください。
[コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
[操作を実行する理由] をオンまたはオフにする。

詳しくは、調査の設定を行うをご覧ください。

ポリシー準拠のログイベント コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。