GoogleWorkspaceの監査レポートを見る。

毎週金曜日更新のnote。
今回はGoogleWorkSpaceでちょっとした出来事がありましたので、ログ確認をするために「監査レポート」を使用しました。
正直これまで見ることがなかったので、半分自分の備忘録的な投稿です。

ことの発端。

お客様より、お客様（外部）と共有しているフォルダが見られなくなったとの連絡があり、確認。確かにみえないけど、ファイルは検索すると出てくるという状態で、さてどうしたものかと考え込みました。
ちょうどGoogleDriveで半年分のデータが消失？というニュースもあり、混乱。

デスクトップ版Googleドライブでおよそ6カ月分のファイルが突然消失したとの報告多数、Googleサポートが調査中

ちょうどこちらも見えなくなったフォルダが半年前に作成したものだったのでまさかそれか？？と思いつつ少し待ってみました。

しかし、時間は何も解決してくれず、GoogleWorkSpaceのヘルプセンターにも連絡し対応を開始しました。

ちなみにデータ消失問題は少しモヤッとする結論になったようです。

Googleドライブのデータ消失問題は「修正済み」とGoogleが主張、直ってないと反論するフォーラムのスレッドを閉鎖

監査ログを見る方法を教えてもらった。

ヘルプセンターのご担当者の方へ該当のドライブの情報提供し、監査レポートで確認することになりました。
その確認方法を教えていただいたので、記録しておきます。

Google Workspace 管理コンソールへようこそ。

管理コンソールに管理者権限のIDで入ると、以下のメニューが表示されています。
今回はGoogleDriveでの事象でしたので、ドライブのログイベントを洗濯選択します。

レポート＞監査と調査＞ドライブのログイベント

ドライブのログイベントは結構下の方にあります。

初期では当日直近のログイベントが表示されるので、見えなくなったと言われた日で絞り込んで検索しました。

誰が何やったのか、一目瞭然。

監査ログなので当たり前なのですが、誰がなにをやってしまったのかがすぐに分かりました。

ぼかしをいれてますが、同一人物が一気に・・

まさかのフォルダ移動をされてしまった。

原因は、外部ユーザ（とある方）がGoogleDriveの共有フォルダから「Root」。つまりそのフォルダのオーナーにあたる人物（今回は私）のマイドライブ直下へなぜかフォルダごと移動するということをされたことが原因でした（ログにしっかり残っていました）。
所定のユーザしか見えない「共有フォルダ」だったのですが、「Root 」に移動したことで、他の方からは見られない状態となったのです。

復旧方法は。

私の「マイドライブ」直下に移された「フォルダ」を「もとの共有フォルダ」へドラッグアンドドロップで復旧しました（ホッとしました）。

外部ユーザに編集権限を与えていると、フォルダを移動することもできてしまうのですね。権限付与は充分注意しましょう。

管理コンソールまで使わなくても、事態を知ることはできた。

監査ログで事象を確認したのですが、実はもっと簡単な方法がありました。
GoogleDriveの該当のフォルダで、履歴を確認したらすぐわかるのです。

GoogleDriveの履歴から、一通り見える。

ドライブの画面で、右側に○印の「i」というアイコンをクリックすると「詳細が表示」されます。そこで「履歴」をみると、しっかり何が起きたのかが表示されていました。

当たり前ですが監査ログと同じことが表示されていました。

この機能で編集履歴をみることはありましたが、よく考えたらここをみたら誰が何をやったのか、確認することができるのですね。

結論。

今回の事象は、権限の問題ではなく、本当にそのフォルダの中にファイルが格納されていない状態になったことでした。
なので、「フォルダが見えないよ」という申告を受けました。
根本的な対策ではないのですが、外部ユーザに編集権限を与えていると、フォルダを移動することもできてしまうので注意喚起する。
当たり前の話ですが、閲覧だけで良いユーザに「編集者」の権限を与えるのは余計な作業が発生するので、本当に注意ですね。

以上、今週のnoteは実際にあったことで、備忘録的に監査ログの見方を覚えておこうとおもい、記載しました。

また来週！

---

書いた人：岡田