Google Drive と Workspace: アプリアクティビティの統合を設定する

この記事では、Google Drive と Workspace の アプリアクティビティ 統合を設定する方法を説明します。

概要

アプリアクティビティ は、接続された SaaS アプリケーション内のすべてのユーザーによる活動をバンド外で可視化するための API ベースのソリューションを提供します。 アプリ内のデータの可視性を アプリアクティビティ に提供するには、必要なアプリケーションとの統合を設定する必要があります。 インテグレーションを作成すると、フィールドが変更されたり期限切れになった場合は、Resources > Integrations > Integrated Apps ページで編集できます。 さらに詳しくは、アプリケーションのアクティビティによるAPI経由のアプリケーション制御を参照してください。

アプリアクティビティの統合を設定するには、以下を行う必要があります:

  1. SaaS アプリケーション内で統合の設定
  2. CMAでAPIコネクタを作成

アプリアクティビティ には CASB ライセンスが必要です。 このライセンスにはアプリとデータ制御およびAPIを通じたアプリケーションアクティビティが含まれています。 CASB ライセンスの購入について詳しくは、Cato の担当者にお問い合わせください。

Google Workspace統合の理解

Google Workspace アカウントを Cato に接続することにより、以下への可視性が得られます:

  • ユーザーログインアクティビティ: すべてのGoogle Workspaceサービス(例: Gmail、Drive、Docs、Sheets、Calendar)におけるログイン試行(成功および失敗)のトラッキング。
  • サードパーティアプリ認可(OAuthイベント): Googleサインインを使用してサードパーティアプリケーションにログインする場合、または外部アプリにWorkspaceデータへのアクセスを許可する際のモニタ。 これには、トークンの発行、許可されたスコープ(例: ドライブ参照/編集)、およびトークンの取消が含まれます。

Google ドライブを接続するメリット

このコネクタを作成した後で、Google ドライブ内のアクティビティを表示および監視できます。 例えば:

  • ファイルのアップロード/ダウンロード
  • ファイルの共有
  • 権限の変更

また、Google 環境内の様々な監査ログにアクセスできます。例えば:

  • ログインの成功/失敗
  • アプリアクセスの認可
  • アカウントの変更

これにより、不審な活動を特定して対処するのに役立ち、以下の活動について警告を受け取ることができます:

  • 疑わしいログイン
  • リスクのあるセンシティブなアクション
  • パスワードの漏洩

Google DriveおよびWorkspace統合の設定

Google Drive と Workspace の統合を設定するには、新しいプロジェクトを作成します。

前提条件

  • Google Cloud Enterpriseライセンスを購入している必要があります

注意

注意: 2026年5月以降、Google DriveおよびWorkspaceコネクタはGoogleアラートセンターから追加のセキュリティイベントデータを収集できます。 これには、疑わしいログイン、漏洩したパスワード、およびセンシティブな管理者アクションなどのデータが含まれます。

2026年5月以前にこのコネクタを作成した場合、Google WorkspaceアラートセンターAPIを有効にする(ステップ7と8)必要があり、ステップ22に記載されたすべてのスコープを追加する必要があります。

ステップ1: Google Cloud Consoleで統合を設定します

Google Cloud Console で CMA に入力するためのサービスアカウント秘密鍵を作成します。

GoogleドライブとWorkspaceの統合を設定するために:

  1. Google Cloud Consoleで、プロジェクトを選択をクリックします。

  2. 新しいプロジェクト をクリックします。

    Google1.png
  3. 名前所在地を選択し、作成をクリックしてください。
  4. API & サービス > ライブラリに移動します。

  5. 管理者 SDK を検索します。

    Google_2.png

  6. Admin SDK API をクリックし、有効化するをクリックします。

    Google3.png
  7. Google WorkspaceアラートセンターAPIを検索します。
  8. Google WorkspaceアラートセンターAPIをクリックし、有効にするをクリックします。
  9. IAM & 管理者 > サービスアカウントに移動します。
  10. ステップ2で作成したプロジェクトを選択し、サービスアカウントを作成をクリックしてください。
  11. サービスアカウントIDを追加し、作成して続行をクリックしてください。

  12. ロールを選択 ドロップダウンで、監査マネージャ管理者を選択します(このロールを検索できます)。

    Google4.png
  13. 完了をクリックしてください。
  14. 作成したサービスアカウントをクリックし、キータブに移動します。
  15. キー追加 > 新しいキーを作成をクリックしてください。

  16. JSON キータイプを選択し、作成をクリックします。

    秘密鍵を含む JSON ファイルがダウンロードされます。

  17. 秘密鍵をコピーして保存し、CMAに追加できるようにします。
  18. Google管理コンソールで、セキュリティ > アクセスとデータ制御 > API制御に移動します。
  19. ドメイン全体の委任の下で、ドメイン全体の委任を管理を選択します。
  20. 新規追加をクリックしてください。
  21. サービスアカウントのクライアントIDを追加します。 これはサービスアカウントページにあります。
  22. これらのスコープを追加します:
    1. https://www.googleapis.com/auth/admin.reports.audit.readonly
    2. https://www.googleapis.com/auth/admin.directory.user.readonly
    3. https://www.googleapis.com/auth/admin.directory.user.security
    4. https://www.googleapis.com/auth/apps.alerts
  23. 承認するをクリックします。

ステップ2: CMAでAPIコネクタを作成する

必要なアプリケーションとの統合を設定した後、CMA に詳細を追加します。

CMAでAPIコネクタを作成するには:

  1. ナビゲーションメニューから、リソース > 統合をクリックします。
  2. 設定済み統合タブをクリックしてください。

  3. 新規作成をクリックします。

    新しい統合パネルが開きます。

  4. 追加したい SaaS アプリケーション を選択します。

    注: JSON形式で秘密鍵を入力してください。

  5. 機能ドロップダウンでアプリケーションアクティビティを選択します。

  6. ステップ1で作成した詳細を追加します。

    メモ: JSONと管理者のメールアドレスはコネクタ作成に必要な詳細です。 管理者のメールフィールドには、スーパー管理者ロールを持つユーザーのメールアドレスを含める必要があります。

  7. 保存をクリックしてください。
  8. アプリは 統合されたアプリ テーブルに 接続済み ステータスで表示されます。

APIを接続した後、クラウドアクティビティダッシュボードでアプリのアクティビティを追跡できます。 データが表示されるまで数分かかることがあります。

Sources

  • 監査ログ ドライブ - Google Drive の監査ログをクエリするためのアクティビティ/drive エンドポイント
  • 監査ログ ログイン - Google ネイティブログインの監査ログをクエリするためのアクティビティ/Login エンドポイント
  • 監査ログ サードパーティ(トークン) - Google サードパーティログインの監査ログをクエリするためのアクティビティ/token エンドポイント

Known Limitations

  • 現在、すべてのイベントがドライブとログインのエンドポイントで取得されます

    サードパーティログインでは、ログイン自体を説明するイベントのみが取得されます

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント