セキュリティの問題をより迅速かつ効率的に防止、検出、修正するために、アクティビティ ルールを作成し、アラートを設定して調査ツールでの操作を自動化できます。
ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。ルールとは、x が発生したら自動的に y を実行する、という法則を表したものです。
管理者は、調査ツールで設定した検索に基づいて警告を表示したり、操作を実行したりするアクティビティ ルールを作成できます。ルールの設定後は指定した検索が継続的に行われ、検索結果の数が設定したしきい値を超えると、指定したアクションが自動で実行されます。たとえば、ドライブ内のドキュメントが社外の相手と共有された場合に、特定の管理者にメール通知するようルールを設定できます。
アクティビティ ルールの管理者権限
アクティビティ ルールの作成と表示が可能かどうかは、Google Workspace のエディション、管理者権限、データソースによって異なります。詳しくは、レポートルールとアクティビティ ルールに必要な管理者権限をご確認ください。
アクティビティ ルールの作成に関する重要なガイドライン
- アクティビティ ルールは、ログイベントのデータソース([Gmail のログのイベント]、[デバイスのログのイベント] など)に基づいてのみ作成できます。Chrome ブラウザ、デバイス、Gmail のメール、ユーザーなど、ライブ状態のデータソースに基づくアクティビティ ルールを作成することはできません。
- どのデータソースを利用できるかは、Google Workspace のエディションによって異なります。詳しくは、調査ツール内で検索をカスタマイズするをご確認ください。
- 検索には少なくとも 1 つのイベント属性を追加する必要があります。
- OR 演算子は、すべての条件パスにイベントを含める場合にのみ、最上位のレベルに含めることができます。
- 属性に追加できる値は 1 つだけです。たとえば、アクターに含めることができるユーザーは 1 人だけです。複数の値を含めるには、条件作成ツールを使用して OR 演算子を追加し、同じ属性に値を追加します。
- 日付フィルタはアクティビティ ルールに使用できません。ルールは連続的に評価されるためです。
- ルールには少なくとも 1 つのアクションまたはアラートを追加する必要があります。
- アクティビティ ルールはログイベントに基づいているため、イベントの発生後にトリガーされます。そのため、ドキュメントのブロックや共有、メール送信などのアクションには適していません。
ルールのしきい値の仕組み
ルールにしきい値を設定すると、ユーザー単位ではなく、ユーザー操作全体に対して累積的に適用されます。たとえば、1 時間以内に 5 回ログインに失敗した場合にユーザーを停止するルールを作成するとします。1 時間以内で 1 人以上のユーザーによるログイン試行が 5 回失敗すると、このしきい値に到達します。この場合、1 回以上ログインに失敗したすべてのユーザーが停止されます。
アクティビティ ルールの作成
アクティビティ ルールは、セキュリティ調査ツールまたは [ルール] ページから作成できます。
手順は次のとおりです。
-
-
管理コンソールのホームページから [セキュリティ] > [調査ツール] に移動し、[アクティビティ ルールを作成] をクリックします。
または
管理コンソールのホームページから [ルール] にアクセスし、[ルールを作成] > [アクティビティ] をクリックします。
- [ルール名] を入力します(例: 外部データ共有)。
- [説明] を入力します(例: 「ドキュメントが社外で共有された場合に通知」)。
- [次へ: 条件を表示] をクリックします。
- ルールの [データソース] を選択します(例: [管理ログイベント])。
注: データソースを利用できるかどうかは、Google Workspace のエディションと管理者権限によって異なります。詳しくは、レポートルールとアクティビティ ルールに必要な管理者権限と調査ツール内のデータソースと条件をご確認ください。
- ルールの条件を 1 つ以上設定します。条件ごとに属性、演算子、値を選択します。
たとえば、イベントがドキュメントの所有権の譲渡であることを指定する条件を設定するには、属性として [イベント]、演算子として [次に一致]、値として [ドキュメントの設定] > [ドキュメントのオーナー権限の譲渡] を選択します。
注: イベントは必須条件です。各データソースで使用できる条件の詳細については、調査ツール内のデータソースと条件をご覧ください。
- [次へ: 操作を追加] をクリックします。
注: アクティビティ ルールを作成する場合、ドライブのログのイベントに対する操作を追加することはできません。 - ルールの期間としきい値を定義します。たとえば、「24 時間ごとの数が 100 を超えた場合」というしきい値を設定することができます。これは、任意の 24 時間で検索結果の数が 100 を超えた場合に、このルールがトリガーされることを意味します。
- ルールの [操作] を選択します(例: ユーザーを停止する、パスワードの変更を強制する)。
- このルールをアラート センターのアラートのトリガーにするかどうかを選択します。
- 重要度([高]、[中]、[低])を選択します。
- アラート センターに対してアラートをトリガーする場合は、[すべての特権管理者] チェックボックスをオンにしてメール通知を送信するか、[メールの受信者を追加] をクリックして、ルールがトリガーされたときに、選択した管理者にメールを送信することもできます。
- [次へ: 確認] をクリックします。
このページでは、ルールのすべての詳細を確認し、ルールを作成する前に必要に応じて変更を加えます。 - [ルールのステータス] を確認します。
アクティビティ ルールを作成する場合、ルールのステータスはデフォルトで [アクティブ] です。これは、ログの収集が開始され、ルールが適用されることを意味します。また、ルールのステータスを [監視] に設定することもできます。これにより、ログを確認してからルールを適用できます。また、後からルールを [無効] に設定することもできます。これにより、システムはログを収集しなくなり、ルールは適用されません。 - [ルールを作成] をクリックします。
注: アクティビティ ルールの設定時には、[条件作成ツール] タブを使用できます。このタブではフィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、単純なパラメータと値のペアを含めて検索結果を絞り込むこともできます。
ルールページ: アクティビティ ルールの表示と編集
アクティビティ ルールを作成したら、[ルール] ページにアクセスして、ルールの詳細と対象、ルールの条件、しきい値を超えたときに実行する操作を確認できます。
[ルール] ページでは、ドメインの管理者が作成したすべてのルールの一覧を確認することもできます。Google 管理コンソールのホームページに移動して [ルール] をクリックします。
[ルール] ページでは、ドメイン内の管理者は、ルールのデータソースと各自の権限に応じて他の管理者によって作成されたルールを表示できます。たとえば、ドライブ ログイベントの表示権限があり、Gmail ログイベントの表示権限がない管理者の場合、Gmail ログイベントに基づくルールは表示されません。
[ルール] ページでは次の操作を行うことができます。
- [フィルタを追加] をクリックしてルールの一覧をフィルタする。
- [ルール] ページに表示されているルールのいずれかをクリックし、ルールの詳細を表示して編集する。
- ルールを削除する。
- 新しいルールを作成する。
- [調査] をクリックして調査ツールを開き、[ルールのログのイベント] のデータを表示する。
メールアラート
ルールに関するメール通知を設定した場合、アクティビティ ルールが最初にトリガーされた際にしきい値の時間枠ごとに通知メールが 1 件だけ送信され、それ以降はルールがトリガーされても通知は送信されません。メール通知には、ルール名、しきい値の詳細、ソースデータなど、アラートをトリガーしたルールの概要が記載されます。メール通知を受け取った管理者が [アラートを表示] をクリックすると、アラート センターの [アラートの詳細] ページが表示されます。
注: アラートのしきい値の時間内で同じルールをトリガーするイベントが複数ある場合は、1 つのメールに集約されます。
