Google Drive監査ログの見方|外部共有を追う手順と見るべき項目
Google Drive の外部共有を追うときは、Drive log events を「全部見る」のではなく、対象アイテム、イベント、実行者、Shared externally の4点を順に確認すると早くなります。 2026年3月14日時点の Google Workspace Admin Help でも、Drive log events では Item name、Event、Actor、Shared externally、Recipients などで追える前提になっています。重要なのは、「今このファイルは外部共有されているか」と「誰が共有設定を変えたのか」を分けて見ることです。
「この営業資料、外に見えていませんか」「導入事例のロゴ入りデータ、誰が共有したか分かりますか」
Google Drive の事故調査で現場が詰まるのは、ログが無いからではありません。ログの見方が決まっていないからです。監査画面を開いてもイベントが多すぎて、どこから見ればよいか分からない。結果として、外部共有の有無、共有した人、いつから見えていたかの説明が後手に回ります。
この記事では、Google Drive の監査ログで外部共有を追う実務手順を整理します。共有リンク運用の危うさは 共有リンク運用の落とし穴 でも触れていますが、今回は「実際に追跡する側」の視点に寄せます。
本記事のポイント
- Google Drive の外部共有調査は、Drive log events で対象アイテム、イベント種別、実行者、Shared externally の順に絞ると迷いにくい。
- Shared externally は現在の状態確認に向くが、原因特定には権限変更イベントや受信者情報と組み合わせて読む必要がある。
- 監査ログを見るだけでは再発は防げず、リンク共有の見直し、期限付き共有、共有ドライブ移行まで含めて運用を閉じる必要がある。
最初に押さえるべき結論
外部共有を追うとき、最初から「誰が見たか」を追い回すと迷います。まず確認すべきは、対象のファイルやフォルダが現在どの状態かです。Google の Drive log events では、項目の中に Shared externally があり、対象アイテムが外部と共有されているかどうかの判定に使えます。
ただし、外部共有の事故調査は「現在 shared externally = true かどうか」で終わりません。必要なのは、いつ共有されたか、誰が共有設定を変えたか、外部共有が直接共有なのかリンク共有なのか、是正後に共有が消えたかまで一連で説明できる状態です。ここを押さえると、監査不能になりやすいスプレッドシート運用 から一段抜けられます。
外部共有を追うときに見るべき4項目
Drive log events には多くの属性がありますが、外部共有調査の起点は4つで十分です。
| 見る項目 | 何が分かるか | 使いどころ |
|---|---|---|
| Item name / Item ID | どのファイル・フォルダが対象か | 事故報告やユーザー申告の対象を絞る起点 |
| Event | 共有変更、権限変更、移動など何が起きたか | 「共有された」「解除された」の時系列確認 |
| Actor | 誰の操作でイベントが起きたか | 本人操作か、管理者操作か、自動処理かを切り分ける |
| Shared externally / Recipients | 外部共有状態と共有先候補 | 現在の公開範囲と共有相手の当たりを付ける |
重要なのは、Shared externally は「状態」寄りの項目だということです。これだけで原因は確定しません。なぜ外部共有になったのかを確定するには、同じアイテムに対して誰がどの共有変更イベントを起こしたかを見る必要があります。
また、営業資料、提案書、ロゴデータのように社外送付しやすいファイルは、権限事故がそのまま信用事故になります。実績ロゴやブランド素材を Drive 上で扱う場合は、ロゴ無断利用リスク の観点とも分けて考えない方が安全です。
外部共有を追う実務手順
実務では、次の順番に見ると調査が早くなります。
1. 対象アイテムを特定する
まずファイル名、フォルダ名、オーナー、推定の更新日時などから対象を絞ります。同名ファイルが多い場合は、ファイル ID を使って追えるように社内の問い合わせ票にも残しておくと後で楽です。
2. Shared externally で現在の状態を確認する
対象が現在も外部共有中なのか、すでに解除済みなのかを先に見ます。ここが分からないまま原因調査を始めると、過去ログばかり追って現状把握が遅れます。
3. 共有変更イベントを時系列で見る
次に、同一アイテムに対する共有・権限変更系のイベントを時系列で並べます。誰が共有設定を変えたのか、外部共有が追加されたのか、解除されたのかをここで追います。ここを飛ばして「いま共有されているらしい」で止めると、説明責任を果たせません。
4. Actor と Recipients を照合する
イベントを起こした人と共有先の候補を見比べます。担当者本人の操作なのか、管理者権限での是正なのか、第三者の巻き込みなのかを切り分ける工程です。異動や委託終了のタイミングなら、期限付き共有 を付けていたかどうかも再点検ポイントです。
5. 是正後の再確認を行う
共有解除や権限見直しをしたら、同じアイテムで Shared externally が消えたかを再確認します。監査は「解除したつもり」で終わらず、状態が変わったことを確認して閉じます。
見落としやすい盲点
外部共有調査でよく詰まるのは、ログを読めないからではなく、共有の仕組みを混同するからです。
現在の状態と過去の原因を混同する
Shared externally は便利ですが、あくまで状態把握の入口です。原因調査には、共有変更イベントと実行者の突き合わせが必要です。「外部共有中だった」だけでは、再発防止のルールまで落とし込めません。
フォルダ経由の共有を見落とす
ファイル単体だけ見ていると、親フォルダ経由の権限を見落とします。共有ドライブやフォルダ設計まで含めて追う必要があります。マイドライブ配下の整理が崩れている場合は、共有ドライブ移行の手順 を別で設計した方が早いケースもあります。
監査後の運用改善が無い
調査だけしても、リンク共有が放置されたままなら事故は繰り返します。権限設計の基本をまだ整理できていない場合は、共有=編集可をやめる権限設計 から見直してください。
外部共有事故を減らす運用ルール
監査ログは「後から追う」ためのものですが、実務では「そもそも追いやすい形にしておく」方が効きます。
- 外部共有はメールアドレス指定を原則にし、リンク共有は承認制にする
- 期限付き共有を標準にし、委託終了や案件終了で自動失効させる
- 社外送付が多い資料は共有ドライブに寄せ、個人所有を減らす
- 月次で Shared externally の棚卸しを行い、解除漏れを潰す
2026年3月14日時点の Google 公式でも、共有の絞り込みや general access の設計は管理者側で制御できる前提になっています。将来的に全社共有を減らしたいなら、target audience や general access 設計も合わせて検討対象です。
よくある質問(FAQ)
Shared externally が true なら、それだけで原因は分かりますか?
分かりません。現在の状態は分かりますが、誰がどのイベントで外部共有にしたかまでは別途確認が必要です。共有変更イベントと Actor を必ず見てください。
監査ログを見れば、共有リンクの事故は十分追えますか?
追跡の助けにはなりますが、共有リンク運用自体が監査性を落とします。継続的に事故を減らすには、リンク共有を減らしてメールアドレス指定共有へ寄せる方が効果的です。
外部共有を解除した後、何を確認すべきですか?
同じアイテムで Shared externally の状態が解消されたかを再確認します。あわせて親フォルダや共有ドライブ側の権限が残っていないかも確認してください。
参考にした公式情報
- Drive log events - Google Workspace Admin Help
- Manage external sharing for your organization - Google Workspace Admin Help
- Set general access sharing options for your organization - Google Workspace Admin Help