アクティビティ ルールを作成、管理する

アラートを設定して対応する

管理者は、Google 管理コンソールでアクティビティ ルールを設定することで、ドメイン内のアクティビティに応じて通知を送信したり、アクションを実行したりできます。アクティビティ ルールを使用すると、セキュリティの問題をより迅速かつ効率的に防止、検出、修正できます。

ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する通知または操作を指定します。ルールとは、x が発生したら自動的に y を実行する、という法則を表したものです。

Google は、アクティビティ ルールで指定された検索を継続的に実行します。検索結果の数が設定したしきい値を超えると、指定した通知やアクションが自動で実行されます。たとえば、Google ドライブ内のドキュメントが社外の相手と共有された場合に、特定の管理者にメール通知するようルールを設定できます。

始める前に

アクティビティ ルールの作成と表示が可能かどうかは、Google Workspace のエディション、管理者権限、データソースによって異なります。詳しくは、レポートルールとアクティビティ ルールに必要な管理者権限をご確認ください。

すべてのエディションで利用できる機能

  • [ルール] ページまたは監査と調査ツールからアクティビティ ルールへアクセス
  • AND フィルタと最大 5 つの条件(ネストされた条件は除く)

高度な機能

この機能に対応しているエディション: Frontline Plus、Enterprise Standard、Enterprise Plus、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium、Chrome Enterprise Premium。 エディションの比較
  • セキュリティ調査ツールからアクティビティ ルールへアクセス
  • OR フィルタ
  • トリガーを設定してアクションを実行
  • トリガーのしきい値を設定
  • ルールに 6 つ以上の条件を設定
  • 条件のネスト
  • イベントが発生するたびに通知を受け取る

アクティビティ ルールの作成に関する重要なガイドライン

  • アクティビティ ルールは、ログイベントのデータソース([Gmail のログのイベント]、[デバイスのログのイベント] など)に基づいてのみ作成できます。Chrome ブラウザデバイスGmail のメールユーザーなど、ライブ状態のデータソースに基づくアクティビティ ルールを作成することはできません。
  • 選択できるデータソースは、使用している Google Workspace のエディションによって異なります。詳しくは、セキュリティ調査ツールで検索するをご確認ください。
  • 検索には少なくとも 1 つのイベント属性を追加する必要があります。
  • OR 演算子は、すべての条件パスにイベントを含める場合にのみ、最上位のレベルに含めることができます。
  • 属性に追加できる値は 1 つだけです。たとえば、アクターに含めることができるユーザーは 1 人だけです。複数の値を含めるには、条件作成ツールを使用して OR 演算子を追加し、同じ属性に値を追加します。
  • 日付フィルタはアクティビティ ルールに使用できません。ルールは連続的に評価されるためです。
  • ルールには少なくとも 1 つのアクションまたはアラートを追加する必要があります。
  • アクティビティ ルールはログイベントに基づいているため、イベントの発生後にトリガーされます。そのため、ドキュメントのブロックや共有、メール送信などのアクションには適していません。

メール通知

ルールに関するメール通知を設定した場合、アクティビティ ルールが最初にトリガーされた際に、しきい値の時間枠ごとに通知メールが 1 件送信されます。それ以外のときはルールがトリガーされても通知は送信されません。メール通知には、ルール名、しきい値の詳細、ソースデータなど、アラートをトリガーしたルールの概要が記載されます。メール通知を受け取った管理者が [View Alert] をクリックすると、アラート センターの [Alert details] ページが表示されます。

ルールのしきい値と通知

通知を最小限に抑えるため、特定の期間内でのイベントの発生が一定回数を超えた場合にのみ通知をトリガーする(しきい値を含む)ルールを作成できます。たとえば、イベントがルールを初めてトリガーすると、アラート センターに新しいアラートが追加され、メールが送信されます(ルールで設定されている場合)。ルールのしきい値が 1 時間の場合、その時間内に発生した追加のイベントは同じアラートに追加されます。しきい値の時間が経過するまで、追加のメール通知は送信されません。

ルールにしきい値を設定すると、ユーザー単位ではなく、ユーザー操作全体に対して累積的に適用されます。たとえば、1 時間以内にログイン試行が 5 回失敗したユーザーを停止するルールを作成した場合、1 時間以内に 1 人以上のユーザーによるログイン試行が合計で 5 回失敗すると、このしきい値に達したことになります。この場合、少なくとも 1 回失敗したユーザーはすべて停止されます。

注:

  • しきい値を含むルールによってトリガーされたメールとアラートには、イベントの説明は含まれません。
  • アクティビティ ルールは、内部のドメイン ユーザーにメールを送信する場合にのみ設定できます。ただし、管理者は Google グループを使用して外部へのメール通知アラートを設定できます。
  • 通知の間隔を 1 時間以上空けることで、過剰なアラートを回避できます。

アクティビティ ルールを作成する

  1. 次のいずれかの方法でルールを作成します(すべての Google Workspace エディション)。
    • 管理コンソールのホームページから [ルール] に移動し、[アクティビティ ルールを作成] をクリックします。
    • または、[レポート]次に [監査と調査] 次に[データソースを選択][データソース] 次に [**アクティビティ ルールを作成**]に移動します。
    • または、セキュリティ調査ツールがある場合は、[セキュリティ] 次に [セキュリティ センター] 次に [調査ツール] に移動し、[作成] [アクティビティ] [ルール] をクリックします。
  2. ルールの詳細を入力して [続行]:
    • ルール名(例: 外部データ共有
    • 説明(例: ドキュメントが社外で共有された場合に通知

  3. [**条件**] ページで、ルールがトリガーされるタイミングを定義します。

    1. ルールの [データソース] を選択します(例: [管理ログイベント])。

      : データソースを利用できるかどうかは、Google Workspace のエディションと管理者権限によって異なります。ドライブのログイベントに対する操作を追加することはできません。詳しくは、アクティビティ ルールに必要な管理者権限セキュリティ調査ツールのデータソースをご確認ください。

    2. [**フィルタ**] タブをクリックして、[**次の文字を含む**]、[**次の文字を含まない**]、[**次に一致**]、[**次に一致しない**] などの単純なパラメータを使用して検索結果をフィルタします。

    3. [**条件作成ツール**] タブをクリックし、AND 演算子または OR 演算子を使用して検索結果を絞り込みます。その後、検索条件ごとにそれぞれ属性演算子を選択します。

      たとえば、イベントがドキュメントの所有権の譲渡であることを指定する条件を設定するには、属性として [イベント]、演算子として [次に一致]、値として [ドキュメントの設定] > [ドキュメントのオーナー権限の譲渡] を選択します。

      注: イベントは必須条件です。各データソースで使用できる条件の詳細については、セキュリティ調査ツールのデータソースをご覧ください。

    4. [条件を追加] をクリックして条件を追加するか、[続行] をクリックします。

  4. (高度な機能)オプションを選択します。

    • イベントが発生するたび - イベントが発生するたびに通知を送信するか、アクションを実行します。
    • イベントの頻度が特定のしきい値に達した場合 - 指定した期間内でイベントが一定回数を超えて発生した場合に、通知やアクションをトリガーするオプションを選択します。たとえば、1 時間以内に 10 回以上イベントが発生した場合です。

  5. (高度な機能)[アクションを追加] をクリックして、イベントが発生したときやしきい値を超えたときにアクションを実行します。

    • たとえば、イベントが発生したときにユーザーを停止したり、パスワードの変更を強制したりします。
    • [アクションを追加] をクリックして、アクションを追加します。

  6. [通知] で、次のオプションを選択します。

    • アラート センター - (推奨)アラートをアラート センターに送信します。アラートには詳細な情報が含まれるため、問題に対処したり、組織内の他の管理者と協力して問題を解決したりできます。
    • メール - メール通知を次の宛先に送信します:
      • すべての特権管理者 - すべての特権管理者にメールを送信します。
      • メールの受信者を追加 - 特定の管理者にメールを送信します。
    • 通知の頻度 - 同じイベントに対して 1 時間ごとに送信される通知(アラートとメール)の数。通知の間隔を 1 時間以上空けることも、イベントが発生するたびに通知を受け取ることもできます。この設定を使用すると、同じイベントに対して過剰な通知が送信されるのを防ぐことができます。 オプションを選択します。
      • 1 時間あたり最大 5 件 (デフォルト)- 1 時間あたり 12 分ごとに通知が届きます。
      • 1 時間あたり最大 2 件 - 1 時間あたり 30 分おきに通知が届きます。
      • 1 時間あたり最大 10 件 - 1 時間あたり 6 分ごとに通知が届きます。
      • イベントが発生するたび (エディションで利用可能な場合)。
    • 重大度 - イベントに表示される重大度レベル。

  7. ルールのステータスを選択します。

    • アクティブ (デフォルト) - システムがログを収集し、ルールが適用されます。
    • モニタリング - システムはログを収集しますが、ルールは適用されません。このオプションを使用すると、ルールを適用する前にログを確認できます。
    • 無効 - ログは収集されず、ルールは適用されません。

  8. [続行] をクリックします。 ルールの詳細を確認します。必要に応じて [**戻る**] をクリックして変更します。

  9. [**ルールを作成**] をクリックします。

アクティビティ ルールの表示と編集

アクティビティ ルールを作成したら、[ルール] ページにアクセスして、ルールの詳細と対象、ルールの条件、しきい値を超えたときに実行する操作を確認できます。

[ルール] ページでは、ドメインの管理者が作成したすべてのルールの一覧を確認することもできます。Google 管理コンソールのホームページに移動して [ルール] をクリックします。

[ルール] ページでは、ドメイン内の管理者は、ルールのデータソースと各自の権限に応じて他の管理者によって作成されたルールを表示できます。たとえば、ドライブ ログイベントの表示権限があり、Gmail ログイベントの表示権限がない管理者の場合、Gmail ログイベントに基づくルールは表示されません。

[ルール] ページでは次の操作を行うことができます。

  • [フィルタを追加] をクリックしてルールの一覧をフィルタする。
  • ルールをクリックしてルールの詳細を表示、編集する。
  • ルールを削除する。
  • 新しいルールを作成する。
  • [調査] をクリックして調査ツールを開き、[ルールのログのイベント] のデータを表示する。