セキュリティ調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、セキュリティ調査ツールを使用して Gmail ログイベントに基づいて検索した後、特定のメールを削除したり、迷惑メールやフィッシング メールに分類したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりすることができます。
調査ツールで行うことができるさまざまな操作の詳細と手順については、以下の項目をご覧ください。
注:
- どのデータソースを利用できるかは、Google Workspace のエディションによって異なります。
- 組織内の管理者は、選択した対応方法に対し理由を入力して記録することができます。このオプションは、特権管理者が調査ツールの設定から有効にできます。手順については、調査の設定を行うをご覧ください。
- 調査ツールでの検索は、期間の範囲を絞り込むほど結果表示までの時間が短くなります。たとえば、検索を過去 1 週間で発生したイベントに絞り込むと、クエリの対象期間を短くせずに検索した場合よりも速く結果が表示されます。
- 一括操作の実行時にタイムアウトが発生する場合は、検索の対象期間を短くしてからもう一度お試しください。
調査ツールにおける操作の種類
デバイスに関する操作デバイスまたはデバイスのログイベントに基づいて検索する場合、検索結果でデバイスを選択してから次の操作を行うことができます。
- デバイスを承認 - デバイスを承認します。[デバイスの有効化を有効にする] をオンにしている場合、有効化を有効にした後に登録するデバイスがドメインと同期できるようにするには、そのデバイスを承認する必要があります。デバイスの有効化が有効になっている場合、デバイスのユーザーは Device Policy アプリをインストールして Google Workspace と同期する必要があります。
- デバイスをブロック - デバイスの Google Workspace データ(Gmail、カレンダー、連絡先)へのアクセスをブロックします。デバイスをブロックしても、デスクトップ パソコンやモバイル デバイスのブラウザを利用すればユーザーは Gmail、カレンダー、連絡先にアクセスできます。
- デバイスの管理アカウントをワイプ - デバイスから Google Workspace データのみをリモートワイプします。詳しくは、モバイル デバイスから企業データを削除するをご覧ください。
- デバイスをリモートワイプ - デバイスのすべてのデータをリモートワイプします。詳しくは、モバイル デバイスから企業データを削除するをご覧ください。
- デバイスのリモートワイプをキャンセル - デバイスのリモートワイプをキャンセルします。
ドライブのログイベントに基づいて検索する場合、検索結果からファイルを選択し、そのファイルの権限などを監査できます。
手順は次のとおりです。
- ドライブのログイベントに基づいてセキュリティ調査ツールで検索を行った後、検索結果で目的のファイルのチェックボックスをオンにします。
- [操作] > [ファイル権限を監査] をクリックして [権限] ページを開きます。
デフォルトで表示される [ファイル] タブに、検索結果に含まれていたファイルが表示されます。それらのファイルへのアクセスをここから管理できます。現在のところ、共有ドライブのファイルはこのビューでは利用できません。 - これらのファイルにアクセスできるユーザーとグループを確認するには、[ユーザー] をクリックします。
このリストに含まれるユーザーやグループは検索結果のアイテムにアクセスできます。ユーザーやグループなどのアクセス権を管理するには、こちらのビューを使用します。 - 選択したファイルのリンク共有設定を表示または変更するには、[リンク] をクリックします。
- その他のユーザーにファイルのアクセス権限を付与する場合は、[ユーザーを追加] をクリックします。複数のユーザーを追加する場合はカンマで区切ります。ユーザーを追加したら、アクセスレベルを選択できます。
注: [共有ドライブ] タブの操作では、共有ドライブ内のファイルのアクセス権限のみを編集できます。共有ドライブ外のファイルは、このタブに表示されません。
- 保存する前に変更内容を確認するには、[保留中の変更] をクリックします。
共有ドライブに関する操作
[セキュリティ調査ツール] [ドライブの更新または削除] 権限を持っている場合は、共有ドライブとその中のファイルを変更することもできます。
- 共有ドライブのメンバーのアクセスレベルを変更、削除、追加することができます。
- ファイルに対してユーザーが直接付与されたアクセス権限、または共有ドライブ内のファイルに対するアクセス権限を変更、削除、または追加することができます。
注: Google ドライブではフォルダの共有やフォルダのオーナー権限の変更が可能ですが、これらの操作を調査ツールで管理者が行うことはできません。
Gmail のメールやログイベントに基づいて検索する場合、検索結果でメールを選択してから次の操作を行うことができます(これらの操作は Gmail 内のメッセージにのみ適用されます。Google グループ内のメッセージには適用されません)。
- ヘッダーを表示
- メールを表示
- メールを削除
- メッセージを復元
- メールを迷惑メールに分類
- メールをフィッシングに分類
- 受信トレイにメールを送信(迷惑メールまたはフィッシングの分類も解除)
- メールを検疫に送信(メールはデフォルトの検疫に送信される)
重要: 検疫に送信されたメールは、Vault 保持ポリシーがトリガーされると自動的に削除されます。このため、これらのメールが Vault の保持ポリシーよりも古い場合、検疫に送信される代わりに削除されます。デフォルトの保持期間は、メールの送受信から 30 日間に設定されています。Vault を使用してカスタム保持ルールを設定することもできます。
たとえば、ユーザーの受信トレイにメールを送信する手順は次のとおりです。
- 調査ツールで検索した後、検索結果で目的のメールのチェックボックスをオンにします。
- [操作] をクリックします。
- [受信トレイにメールを送信] を選択します。
- [受信トレイに送信] をクリックして確定します。
- 操作の結果を確認するには、ページ下部にある [表示] をクリックします。
[結果] 列で、操作のステータスを確認できます(例: 「メールを受信トレイに送信しました」)。
注: Gmail のメール コンテンツを閲覧することもできます。詳しくは、Gmail のメール コンテンツを閲覧するをご覧ください。
ユーザーに基づいて検索する場合、検索結果でユーザーを選択してから次の操作を行うことができます。
- ユーザーを復元
- ユーザーを停止
たとえば、検索結果内の特定のユーザーを停止する手順は次のとおりです。
- 調査ツールで検索した後、検索結果で目的のユーザーのチェックボックスをオンにします。
- [操作] をクリックします。
- [ユーザーを停止] を選択します。
- もう一度 [ユーザーを停止] をクリックして確定します。
ユーザーの復元も同様の手順で行えます。
ユーザーのログイベントに基づいて検索する場合、検索結果でユーザーを選択してから次の操作を行うことができます。
- パスワードの変更を強制
- ユーザーを復元
- ユーザーを停止
たとえば、検索結果内の特定のユーザーを停止する手順は次のとおりです。
- 調査ツールで検索した後、検索結果で目的のユーザーのチェックボックスをオンにします。
- [操作] をクリックします。
- [ユーザーを停止] を選択します。
- もう一度 [ユーザーを停止] をクリックして確定します。
ユーザーの復元も同様の手順で行えます。
Meet のログイベントに基づいて検索する場合、[会議を終了して全員に退出してもらう] の操作を使用して、組織内の選択した会議からすべてのユーザーを削除できます。たとえば、会議の主催者が存在しない場合や予定が完了した後に、管理対象外の会議がユーザーに対して表示されないようにすることができます。
詳しくは、調査ツールを使用して会議を終了するをご覧ください。
検索結果を使用した一括操作
検索結果内の個々のアイテムを選択して操作を行うだけでなく、ページ全体に対して一括操作を行うことも、全ページのすべての結果に対して一括操作を行うこともできます。
注: 一括操作の実行時にタイムアウトが発生する場合は、検索の対象期間を短くしてからもう一度一括操作をお試しください。
現在表示しているページの検索結果に対して一括操作を行うには:
- 左端の列の上部にあるチェックボックスをオンにします。
これにより、現在のページのすべてのチェックボックスがオンになります。 - 上部にあるバーの [操作] をクリックします。
すべてのページのすべての検索結果に対して一括操作を行うには:
- 左端の列の上部にあるチェックボックスをオンにします。
- [すべての結果を選択] をクリックします。
これにより、検索結果のすべてのページのすべてのチェックボックスがオンになります。 - 上部にあるバーの [操作] をクリックします。
注: この処理中に検索結果の次のページをクリックすると、検索結果のすべてのページのすべてのチェックボックスがオフになり、最初からやり直す必要があります。
一括操作のステータスを確認する
Google 管理コンソールでは、大規模なタスクが進行中かどうか、あるいは完了しているかどうかのステータスを確認できます。
たとえば、調査ツールの一括操作のいずれかが完了するまでに時間がかかる場合は、いったん管理コンソールから離れ、後から操作のステータスを確認できます。
管理コンソールの上部にあるタスクアイコン をクリックすると、大規模なタスクのステータスが表示されます。
詳しくは、大規模なタスクのステータスを確認するをご覧ください。
検索結果の列ベースのピボット
調査ツールの検索結果で列ベースのピボットを使用すると、アイテムに関するデータを別のデータソースの視点から見ることができます。たとえば、Gmail のログイベントに基づいて検索した後、[受信者] 列の受信者をクリックすると、オーナー別のドライブのイベントクエリを作成できます。これにより、Gmail のログイベントとドライブのログイベントという 2 つの異なるデータソースから特定のユーザーに関するデータを分析できます。
Gmail のログイベントの検索結果からドライブのログイベントにピボットする手順は次のとおりです。
- セキュリティ調査ツールで検索した後、[受信者] 列の目的のユーザーにカーソルを合わせます。
- そのユーザーのメニュー アイコン(縦に 3 つ並んだ点)をクリックします。
- [ドライブのログのイベント]
[オーナー] を選択します。
ドライブのログイベント検索の条件は自動入力されます。 - 検索条件を追加します(例: [タイトル]、[公開設定])
- [検索] をクリックします。
検索結果内の多くのアイテムに対して、他にもピボット操作を行うことができます。たとえば、列全体をピボットすることも、メールの件名、メッセージ ID、送信者などをピボットすることもできます。
操作をキャンセルする
操作が完了する前であれば、調査ツールで操作をキャンセルすることができます。たとえば、複数のユーザーの停止操作を開始した場合は、[調査] ページの下部にある [キャンセル] をクリックできます。
一括操作をキャンセルした場合、途中まで処理が行われていれば、その結果が表示されます。
注: 書き出し操作の場合、書き出しを開始した管理者のみが操作をキャンセルできます。それ以外の操作は、その操作に関連するデータ(ドライブ、Gmail、モバイルなど)の操作権限を持っている管理者がキャンセルできます。
操作を再試行する
一括操作を行うと、検索結果に一部のユーザーが含まれないなど、検索エラーが発生することがあります。このような場合は、操作を再試行できます。
- 調査ツールで操作を完了した後、[詳細を表示] をクリックします。
- [操作の詳細] パネルで [再試行] をクリックします。
- 再試行ウィンドウで操作([メールを迷惑メールに分類] など)をクリックします。
操作の結果をマイドライブ フォルダのスプレッドシート ファイルに書き出す
操作の結果を [マイドライブ] フォルダに保存するには:
- 操作結果の表の上部にあるエクスポート アイコンをクリックします。
- 書き出しの名前を入力します。
- [エクスポート] をクリックします。
書き出された操作の結果を表示する
書き出された操作の結果を表示する際は、以下のガイドラインを参考にしてください。
- 表の上部にあるエクスポート アイコンをクリックすると、操作の結果が記載された Google スプレッドシートが [マイドライブ] フォルダに作成されます。結果のサイズによっては、書き出し処理に時間がかかることがあり、Google スプレッドシートが複数作成されることもあります。書き出せる結果は合計 3,000 万行までに制限されています。
- 書き出しの進行中は、仮名の Google スプレッドシートが作成されます(TMP-1-<タイトル> など)。Google スプレッドシートが複数作成される場合、2 番目以降のファイルの仮名は TMP-2-<タイトル>、TMP-3-<タイトル> のようになります。書き出し処理が完了すると、ファイル名は自動的に <タイトル> [1 of N]、<タイトル> [2 of N] のように変更されます。書き出されたデータを含む Google スプレッドシートが 1 つのみの場合、ファイル名は <タイトル> に変更されます。
- 書き出された操作の結果を含むファイルの共有アクセス権限は、ドメイン設定に準拠します。たとえば、作成されたファイルがデフォルトで社内の全員と共有される場合、書き出されたデータにもこの公開設定が適用されます。
