お問い合わせ
AI NOTE — 208

GWS監査ログ日次監視のClaude Code Routines設計

PUBLISHED2026.06.29
READ9 分
CATEGORYAI

Claude Code Routines(Anthropic が 2026 年 4 月にリリースしたクラウド実行の定期タスク機能)は、最短 1 時間間隔のスケジュール実行に対応しています(公式ドキュメントより)。GWS(Google Workspace)監査ログの月次分析を日次に切り替える際は、実行頻度を変えるだけでなく、Slack アラートの閾値設計と月次との役割分担を合わせて見直す必要があります。

この記事を読んだほうが良い人

  • Claude Code Routines で GWS 監査ログの月次分析を実装済み、または実装を検討している情シス担当者
  • 月次バッチでは「インシデントを後から気づく」状況を変えたいが、日次化の設計方針が掴めていない人
  • Slack へのアラート通知設計のイメージを設計レベルで理解したい人
  • 誤検知とアラート疲れを防ぐ運用設計の観点を知りたい人

月次レポートから日次監視へ——発想の転換が必要な理由

Routines のスケジュール設定を「月次→日次」に変更するのは、設定画面上では数クリックです。しかし実運用で問題になるのは、「毎日 Claude が何かを判断して、何かを Slack に投げてくる」状態への対応です。

月次監査は「レポート」の発想で設計できます。1 ヶ月分のログをまとめて渡し、傾向・異常件数・サマリを生成させる。受け手は月 1 回、落ち着いて確認すれば済みます。

日次監視は「監視(モニタリング)」の発想に切り替える必要があります。毎日ログを渡し、「昨日は何か異常があったか」を Claude に判断させ、閾値を超えた場合だけ Slack に通知する。受け手は条件付きアラートが届いたときだけ対応します。

この発想の転換が、設計全体——Slack 通知の粒度、プロンプト設計、運用フロー——に影響します。

Claude Code Routines GWS 監査ログ 日次監視の設計判断表

月次と日次で何が変わるかを整理すると、次のようになります。

観点 月次 日次
目的 傾向把握・監査証跡 異常の早期検知
検知タイムラグ 最大 30 日 最大 24 時間
API コスト 低(月 1 回) 月次の最大 30 倍
誤検知リスク 低(月単位で平均化) 高(単日の偏りに反応しやすい)
Slack 通知 月 1 回レポート配信 閾値超過時のみアラート
主なユースケース 監査・コンプライアンス セキュリティ監視・インシデント対応
Routines 実行枠 月 1 回(枠に余裕) 毎日 1 回(枠の消費に注意)

Routines にはアカウントごとに 1 日あたりの実行回数の上限が設けられています(プランにより異なる可能性があります。現在の残数は管理画面から確認できます)。GWS 監査以外にも複数の Routines を並行運用する場合、日次監視が実行枠を占有することを考慮した設計が必要です。

また、Routines は 2026 年 6 月時点でリサーチプレビュー段階です(公式ドキュメントより)。仕様や制限が変更される可能性があるため、本番運用への組み込みは段階的に進めることを推奨します。

日次化が必要なタイミング——5 つのシグナル

月次で十分な組織もあれば、日次が必要な組織もあります。以下の条件に当てはまる数が多いほど、日次化の優先度は上がります。

シグナル 1: 外部ユーザーへのアクセス権が日常的に発生している 業務委託・パートナー・顧問など、正社員以外が Google Workspace にアクセスする機会が多い組織では、権限の付与・剥奪ミスが長期間気づかれないリスクがあります。月次では 30 日間そのまま放置される可能性があります。

シグナル 2: 過去に内部不正・アカウント侵害が 1 件でも発生している 過去に類似インシデントがある組織は、再発監視を月次で行うのはポリシー上のリスクになります。セキュリティ監査の観点から、インシデント後は日次への移行が求められるケースがあります。

シグナル 3: SOC 2・ISO 27001 などの取得を検討・維持している コンプライアンスフレームワークによっては、「リアルタイムまたは定期的な監視」を要件として求める場合があります。月次では「定期的な監視」の定義を満たさないと判断される可能性があります(取得を目指す認証の要件を確認してください)。

シグナル 4: 管理者が 3 名以下で、異常発生に気づく属人的な仕組みがない 担当者の目が届く範囲が狭い組織では、ログを能動的に確認しないとインシデントに気づけません。自動化による補完の優先度が高まります。

シグナル 5: SaaS 連携アプリの数が 20 本を超えている OAuth 認可が多い環境では、意図しないアプリへの認可や、退職者アカウントに残った認可が問題になりやすいです。月次では変化の追跡が難しくなります。

これらのシグナルが 2 つ以下なら月次で十分なことが多く、3 つ以上ならば日次監視の設計検討を始める価値があります。

GWS 監査ログ Slack 自動通知の閾値設計

日次監視で Slack 通知を設計するときの判断軸は、「件数に関わらず常に通知するイベント」と「件数が閾値を超えたら通知するイベント」を分けることです。

常に通知する(ゼロトレランス)

以下のイベントは 1 件発生した時点で即時通知します。

  • 管理者権限の付与・変更
  • スーパー管理者アカウントへの業務外時間帯ログイン
  • OAuth 認可の大量取り消しや付与(10 件以上の一括操作)
  • Vault(法的保全)へのアクセス

件数が閾値を超えたら通知する

以下のイベントは、自組織の通常範囲から逸脱したときに通知します。

  • ログイン失敗:1 ユーザーあたり 5 回/日を超えたとき(初期値。自組織の実績に合わせて調整する)
  • 外部ドメインへのドライブ共有:過去 30 日の日次平均の 3 倍を超えたとき
  • 大量ファイルダウンロード:1 ユーザーあたり 50 ファイル/日を超えたとき(初期値)

「閾値をいくつにするか」は最初から確定できません。最初の 1〜2 ヶ月は過去ログを参照して「自組織の通常範囲」を把握し、その後に閾値を設定する順番が現実的です。

Slack 通知のチャンネル設計

通知先を 1 チャンネルに集約すると、重要アラートが埋もれます。優先度で分けるのが実用的です。

  • #gws-security-alert(優先度:高のみ): 即時対応が必要なアラート。管理者担当者全員が参加するチャンネルに配信。通知が来たら当日中に確認するルールにする
  • #gws-security-log(優先度:中・低): ログ記録目的。誰も毎日見なくてよい。週次のレビュー時に確認する

通知文のフォーマットも事前に決めておくと Claude が安定した出力を返します。以下は通知内容の設計例です。

[優先度:高] GWS 監査アラート — 2026-06-30

検出イベント: 外部ドメインへの大量共有
対象ユーザー: [ユーザー名]
件数: 47 件(通常平均 5 件/日)
検出時刻: 2026-06-29 23:14 JST

判断根拠: 過去 30 日平均の 9.4 倍。夜間の大量操作のため即時確認を推奨。

対応: #gws-security-alert のスレッドで確認・クローズ処理を行う

このフォーマットをプロンプトに含めることで、Claude が毎回同じ形式で通知文を生成します。受け手の認知負荷を下げるには「フォーマットの一貫性」が重要です。

異常スコアリングの考え方——AI に何を問うか

Routines のプロンプトに「ログを見て異常があれば通知して」と書くだけでは、毎日何かが Slack に来る状態になります。AI が判断するためには、「何と比較して異常とみなすか」の基準をプロンプトに含める必要があります。

Claude に渡す情報を構造化するなら、次の 3 層が効果的です。

  • 判断基準層: 自組織のセキュリティポリシー、各イベントの許容範囲(例:外部共有は通常 1 日 3 件以内)
  • 参照データ層: 過去 30 日の日次平均件数(イベント種別ごと)
  • 分析対象層: 昨日 1 日のイベントデータ(絞り込み済み)

プロンプトの問いかけ部分は次のような構造にすると扱いやすいです。

あなたは Google Workspace のセキュリティ監査担当です。
以下の「判断基準」「過去30日平均」を参照し、「昨日のログ」を分析してください。

【判断基準】
- 管理者権限変更: 1件でも発生したら優先度:高
- ログイン失敗: 1ユーザーあたり5回/日超で優先度:高
- 外部ドメイン共有: 過去平均の3倍超で優先度:中

【過去30日平均(日次)】
- ログイン失敗: 1.2回/ユーザー
- 外部共有: 3.1件/日
- ファイルダウンロード: 18件/ユーザー

【昨日のログ】
(ここに実際のログデータを挿入)

出力形式:
- 優先度(高/中/低)
- 検出イベントの種類と件数
- 判断根拠(1文)
- 優先度:高の場合のみ、上記フォーマットでSlack通知文を生成する
- 優先度:中/低の場合は「通知なし。ログ記録のみ。」と出力する

「優先度:高の場合のみ Slack 通知を送信する」という条件分岐をプロンプト内に含めることで、大半の日は Slack に何も来ない状態を作れます。通知ゼロの日が「異常なし」の確認として機能します。

判断基準層は毎日同じ内容を送ることになるため、Prompt Caching(プロンプトキャッシング)の適用対象になります。固定層をキャッシュ化することで API コストを大幅に抑えられます。コスト設計の詳細は DRASENAS の GWS 監査ログ Prompt Caching 設計記事も参照してください。

誤検知とアラート疲れを防ぐ運用設計

日次監視を始めた直後によく起きる失敗が「毎日 Slack に通知が来て、担当者が無視するようになる」状態です。アラートへの信頼が失われると、本物のインシデントを見逃すリスクが上がります。

誤検知が増えやすい状況を事前に把握しておくことが重要です。

  • 月初・月末: 退職・入社・権限変更が集中し、権限操作の件数が増える
  • 長期休暇明け: 複数ユーザーが一時的に大量のファイルを操作する
  • 全社イベント・プロジェクト立ち上げ: 通常より外部共有が増える

これらは「異常ではなく業務上の特殊期間」です。期間を見越したプロンプト設計(例:「今週は新入社員研修のため、権限変更イベントの閾値を通常の 2 倍に緩和してください」)か、特殊期間中は閾値そのものを緩和するかを検討します。

アラートが来たときの初動フローを先に決める

通知が届いた後の動きを事前に決めていないと、アラートが来るたびに「これどうすればいいか」の判断コストが発生し続けます。少なくとも以下の 3 点は運用開始前に決めておきます。

  1. 一次確認担当者: アラートを最初に見て「本物か誤検知か」を判断する人。複数担当者がいる場合はローテーションルールを決める
  2. 確認タイムライン: 優先度:高のアラートは「受信後 2 時間以内に一次確認を完了する」など具体的な時間を設定する
  3. 誤検知と判断した場合の記録方法: 誤検知を記録しておかないと、閾値の見直しに必要なデータが蓄積されません。Slack のスレッドに「誤検知確認済み・理由: ◯◯」とコメントするルールを決めておく

アラート疲れへの対策

アラート疲れへの対策として、次の 3 つが実効性の高い設計です。

  • 優先度フィルタリング: 「優先度:高」のみ Slack 通知し、「優先度:中・低」はログ保存のみにする
  • 1 日のアラート上限を決める: Slack に届くアラートは週に 5 件以内を目安にする。それを超える状態が続くなら閾値の見直しサインです
  • 週次レビューを Routine に含める: 月曜朝に「先週の優先度:中・低アラートの一覧と傾向サマリ」を別チャンネルに配信する Routine を追加する。これにより、優先度:中以下のログも定期的に目を通す仕組みができます

月次レポートと日次監視を並走させる役割分担

月次から日次への「置き換え」ではなく、「月次レポートと日次監視の並走」が安定した設計です。

  • 月次の役割: 傾向把握・監査証跡・コンプライアンスレポート。経営層やコンプライアンス担当向けに月 1 回配信します
  • 日次の役割: セキュリティ監視・異常検知・インシデント対応トリガー。Slack の専用チャンネルに条件付き通知します

2 層設計には、月次が「日次の閾値設計の基準データ」を提供するという副次的な効果もあります。月次の実績から「今月の平均ログイン失敗回数は 1 ユーザーあたり 2 回/日」というデータが得られれば、それが日次の閾値設計の根拠になります。

推奨する導入順序

最初から日次だけを動かすより、次の順番が現場では安定します。

  1. 1〜2 ヶ月目: 月次 Routine だけを動かし、過去ログから「自組織の通常範囲」を把握する。この期間のデータが日次の閾値設計の根拠になります
  2. 3 ヶ月目: 日次 Routine を追加。ただし最初の 2 週間は Slack への通知を無効にし、プロンプトの出力内容だけをログファイルに書き出して、判断の精度を検証します
  3. 4 ヶ月目以降: Slack への通知を有効化。月次と日次の両 Routine を並走させる体制に移行します

この順番を踏むことで、「通知を有効にした途端に大量のアラートが来て混乱する」状況を回避できます。

Routines の実行枠の観点でも、月次は月 1 回・日次は毎日 1 回という配分なら、他のルーティン業務と並行稼働しても枠を管理しやすい構成になります。

まとめ——日次監視は設定変更ではなく設計の変更

Claude Code Routines の実行頻度を変えることは簡単です。難しいのは、その後の「Slack には何を、どんな条件で、どんな形式で届けるか」という設計です。

日次監視を安定して運用するためのポイントをまとめます。

  • 月次は「レポート」、日次は「監視」という発想の違いを最初に整理する
  • Slack 通知は「優先度:高のみ」に絞り、アラートの信頼を守る
  • 閾値は自組織の通常範囲を把握してから設定する(最初の 1〜2 ヶ月は観測期間として使う)
  • 月次レポートは廃止せず、日次監視と並走させて役割を分担させる
  • 誤検知と初動フローのルールを運用開始前に文書化する

日次監視は、始めること自体よりも「誤検知を減らして担当者の信頼を保ち続ける」ことが長期的な課題です。設定ではなく設計として向き合うことで、自動化の恩恵を持続させられます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。