お問い合わせ
SECURITY NOTE — 071

Google Drive アクセス権限レポートで共有ファイルのリスクを可視化する:情シス向け活用ガイド

PUBLISHED2026.05.05
READ7 分
CATEGORYSECURITY

Google Workspaceの管理コンソールに、Google Driveのアクセス権限レポートが2023年10月に一般提供されました。この機能により、組織内の共有ドライブや個人のDriveにあるファイルの共有設定を一元的に把握し、潜在的な情報漏洩リスクを可視化できます。

この記事を読んだほうが良い人

  • 100名規模の企業でGoogle Workspaceを管理する情シス担当者
  • 共有ドライブや個人のDriveにおける外部共有・過剰な権限設定に懸念はあるが、どこから手をつければ良いか分からない担当者
  • ファイルの権限棚卸しを効率的に実施したいと考えている担当者

Google Driveのアクセス権限レポートとは?

Google Driveのアクセス権限レポートは、組織内のGoogle Driveに保存されているファイルやフォルダについて、誰がどのような権限を持っているかを一覧で確認できる管理コンソール機能です。

これまで、個々のファイルの共有設定を確認するには、それぞれのファイルを開くか、監査ログを詳細に分析する必要がありました。このレポート機能の登場により、特にリスクの高い共有設定(組織外共有・公開共有など)を持つファイルを効率的に特定できるようになりました。

このレポートは、2023年10月にGoogle Workspace Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Frontlineのエディション、および従来のG Suite Businessエディション向けに一般提供が開始されました。

アクセス権限レポートの取得と画面構成

アクセス権限レポートは、Google Workspace管理コンソールから以下の手順で取得できます。

  1. Google Workspace管理コンソールにログインします。
  2. 左側のナビゲーションメニューで「レポート」を選択します。
  3. 「レポート」ページで「Drive」をクリックします。
  4. 「Driveレポート」の概要ページで「アクセス権限レポート」のセクションを見つけます。
  5. 「レポートを作成」ボタンをクリックし、対象期間やフィルタ条件を設定してレポートを生成します。

生成されたレポートには、以下のような情報が含まれます。

  • ファイル名/フォルダ名: 共有設定されているファイルまたはフォルダの名称
  • オーナー: ファイルまたはフォルダの所有者
  • 共有タイプ: 共有設定の種類(組織外共有・組織内共有・公開共有など)
  • 公開範囲: 誰と共有されているか(特定のユーザー・リンクを知っている全員・ウェブ全体など)
  • リスクスコア: Googleが自動で判定する共有設定のリスクレベル
  • 最終アクセス日時: そのファイルまたはフォルダが最後にアクセスされた日時

このレポートはCSV形式でダウンロードできるため、スプレッドシートツールで詳細に分析することが可能です。

このレポートの制約と注意点

Google Driveのアクセス権限レポートは強力なツールですが、いくつかの制約も存在します。レポートの生成には時間がかかる場合があり、リアルタイムの情報ではないことに注意が必要です。また、取得できるレポートの期間や件数には上限が設けられている場合があります。管理コンソールのレポート画面から直接ファイルの共有権限を変更することはできません。CSVで情報を確認した後、個別に手動で変更作業を行うか、別途API連携を検討する必要があります。この機能はGoogle Workspaceの一部のエディションに限定されており、対象外のエディションでは利用できません。

リスクスコアの読み解き方と優先順位付け

アクセス権限レポートで特に注目すべきは「リスクスコア」です。Googleが共有設定の危険度を自動で評価したもので、スコアが高いほどセキュリティリスクが高いと判断されます。

リスクスコアの主な解釈

  • 高リスク: ウェブ全体に公開されているファイルや、組織外の不特定多数に編集権限が付与されているファイルなどが該当します。情報漏洩に直結する可能性が高いため、最優先で確認・対処が必要です。
  • 中リスク: 組織外の特定ユーザーに閲覧権限が付与されている場合や、組織内の「リンクを知っている全員が閲覧可能」となっているファイルなどが該当します。意図した共有であれば問題ありませんが、放置すると共有範囲が拡大するリスクがあります。
  • 低リスク: 組織内の特定ユーザーやグループに限定して共有されているファイルが該当します。通常は問題ありませんが、定期的な棚卸しで不要な権限がないか確認することが望ましいです。

高リスク共有の優先対処フロー

情シス担当者には、以下のフローで高リスク共有に対処することを推奨します。

  1. アクセス権限レポートの取得: 管理コンソールから最新のレポートをCSVでダウンロードします。
  2. 高リスクファイルの特定: レポートをフィルタリングし、リスクスコアが高いファイルを抽出します。「ウェブ全体に公開」や「組織外の誰でも編集可能」なファイルを優先します。
  3. オーナーと共有理由の確認: 特定した高リスクファイルのオーナーに連絡を取り、共有の意図と必要性を確認します。 - 意図しない共有の場合: 直ちに共有権限を削除または制限します。 - 意図した共有だがリスクが高い場合: 期限付き共有・閲覧専用・特定の共同編集者のみに限定・共有ドライブへの移行などを検討します。 - 正当な理由があるやむを得ない共有の場合: ドキュメントとして記録し、定期的な見直し対象とします。
  4. 改善措置の実施: 確認結果に基づき、共有権限の変更や削除を行います。
  5. 再確認: 改善措置後、再度レポートを生成し、リスクが解消されたことを確認します。

よくある誤設定パターンと改善アクション

アクセス権限レポートで見つかりやすい、代表的な誤設定パターンとそれに対する修正手順を解説します。

パターン1: 組織外共有が意図せず発生しているケース

社員が誤って重要なファイルを組織外の個人Gmailアカウントや、業務と関係ない外部組織に共有してしまうケースです。

  • レポートでの見分け方: 「共有タイプ」が「組織外共有」となっており、公開範囲が特定の外部メールアドレスになっている。
  • 改善アクション: 1. ファイルオーナーに共有の意図を確認します。 2. 不要な共有であれば、ファイルまたはフォルダの共有設定を開き、該当する外部ユーザーの権限を削除します。 3. 必要な共有であっても、閲覧権限に限定するなど、最小権限の原則に基づき見直します。

パターン2: 組織内「リンクを知っている全員」共有が多すぎるケース

組織内の誰もがリンクを知っていれば閲覧・編集できる設定が、意図せず適用されているケースです。機密性の低い情報であれば問題ありませんが、機密情報が含まれると組織内での情報拡散リスクが高まります。

  • レポートでの見分け方: 「共有タイプ」が「組織内共有」で、「公開範囲」が「リンクを知っている全員」になっている。
  • 改善アクション: 1. ファイルオーナーに共有の意図を確認します。 2. 本当に「組織内の誰もが閲覧・編集する必要があるか」を検討します。 3. 必要がなければ、共有設定を「特定のユーザー」または「グループ」に限定し、アクセスできる人を絞り込みます。

パターン3: 権限が過剰に付与されているケース

本来は閲覧だけで十分なユーザーに編集権限が付与されている、あるいは過去のプロジェクトメンバーに不要な権限が残っているケースです。

  • レポートでの見分け方: 特定のユーザーやグループに「編集者」権限が付与されているが、付与日時が1年以上前である、またはプロジェクト終了後も権限が残存している場合など、その必要性が低いと判断される場合。
  • 改善アクション: 1. ファイルオーナーに権限付与の意図を確認します。 2. 不要な編集権限であれば、「閲覧者」権限にダウングレードするか、完全に権限を削除します。 3. 定期的な権限棚卸しのプロセスを確立し、不要な権限が残存しないようにします。

レポートを継続的に活用する運用ポイント

アクセス権限レポートは一度確認して終わりではなく、継続的な運用が重要です。

  • 定期的な確認: 週次・月次など、決まった頻度でレポートを生成・確認する習慣を確立します。大規模な組織変更やプロジェクト終了時には重点的に確認すると効果的です。
  • 情シスと現場部門の連携: 情シスだけで全ての問題を解決しようとせず、ファイルのオーナーである現場部門と連携し、共有の意図を確認しながら改善を進めることが重要です。セキュリティポリシーの周知徹底も並行して行いましょう。
  • 自動化の検討: レポートの分析や、特定の条件に合致するファイルへの対処を自動化するツール(GAS(Google Apps Script)やAdmin SDKなど)の導入も視野に入れると、より効率的な運用につながります。

まとめ

Google Driveのアクセス権限レポートは、情シス担当者がGoogle Drive内の情報セキュリティリスクを効率的に可視化し、管理するための強力なツールです。このレポートを活用することで、野放しになりがちなファイル共有の状況を効率的に把握し、高リスクな共有から優先的に対処できます。

レポートの定期的な確認と、オーナーである現場部門との連携を通じて、組織全体の情報ガバナンスを強化し、安全なGoogle Workspace運用を実現してください。四半期に一度の棚卸しと、権限オーナーへの通知フローを組み合わせることで、実務に即した継続的なファイルガバナンス体制を構築できます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。