お問い合わせ
SECURITY NOTE — 032

Google Workspace MDMログとSIEM連携でデバイス脅威を早期検知する統合セキュリティ監視を構築

PUBLISHED2026.04.26
READ9 分
CATEGORYSECURITY

Google Workspaceのデバイス管理機能(MDM)で収集されるデバイスログは、組織内のセキュリティ状況を把握する上で非常に重要な情報源です。これらのログをSIEM (Security Information and Event Management)と連携することで、デバイスにおける潜在的な脅威の早期検知と統合的なセキュリティ監視が可能になります。

この記事を読んだほうが良い人

  • Google Workspace環境でデバイスのセキュリティ監視を強化したい情シス・コーポレートIT担当者
  • Google Workspace MDMで収集されるログデータの活用方法に課題を感じている方
  • 既存のSIEMソリューションにGoogle Workspaceのデバイスログを取り込みたいと考えている方
  • デバイス起因のセキュリティインシデント対応能力を高めたい方

Google Workspace MDMログの重要性とSIEM連携のメリット

Google Workspaceのモバイルデバイス管理(MDM)機能は、組織内のスマートフォン、タブレット、PCなどのデバイスを一元的に管理し、セキュリティポリシーを適用するために利用されます。このMDM機能から生成されるログには、デバイスの登録、プロファイルの変更、アプリのインストール、ワイプコマンドの実行、デバイスコンプライアンス違反などの情報が含まれています。

これらのMDMログは、以下のようなセキュリティ上の洞察を提供します。

  • 不正デバイスの検知: 未承認のデバイスが組織のデータにアクセスしようとしたり、登録されたりする試み。
  • コンプライアンス違反の監視: デバイスがパスコード設定、暗号化、OSバージョンなどのセキュリティポリシーを満たしているか。
  • 脅威の兆候: デバイスワイプやロックコマンドが不審な状況で実行された場合、または大量のアプリがインストールされた場合。

しかし、MDMログを単体で監視するだけでは、他のセキュリティシステム(認証ログ、ネットワークログ、クラウドアクセスログなど)との相関分析が難しく、全体的な脅威像を把握しにくいという課題があります。ここでSIEMとの連携が重要になります。

SIEMは、組織内の様々なシステムからログデータを集約し、リアルタイムで分析、相関分析を行うことで、潜在的なセキュリティインシデントを検知するプラットフォームです。Google Workspace MDMログをSIEMに取り込むことで、以下のようなメリットが得られます。

  • 統合的な脅威検知: デバイスログとユーザー認証ログ、ドライブアクセスログなどを組み合わせ、より複雑な攻撃パターンを検知できます。例えば、「特定のデバイスから異常なアクセスがあった直後に、そのデバイスのユーザーアカウントで不審なログインが試みられた」といった相関を分析できます。
  • 早期検知と対応: リアルタイムに近い形でログを監視し、異常を検知した際にアラートを生成することで、インシデントへの迅速な対応が可能になります。
  • コンプライアンスと監査: ログの一元管理により、監査対応やコンプライアンス要件への準拠が容易になります。

統合セキュリティ監視のアーキテクチャ

Google WorkspaceのMDMログをSIEMに連携する際の一般的なアーキテクチャを以下に整理します。

このアーキテクチャでは、主に以下の流れでログが連携されます。

  1. Google Workspace MDMログの生成: ユーザーがデバイスを登録したり、管理者がデバイスポリシーを適用したりする際に、Google Workspaceの内部でデバイス管理に関する監査ログが生成されます。これらはGoogle Workspaceの監査ログの一部として扱われます。
  2. Google Cloud Loggingへのエクスポート: Google Workspaceの監査ログは、Google Cloud Loggingのログエクスポート機能を通じて、Google Cloud Platform (GCP) プロジェクト内のログバケットにルーティングできます。これにより、ログデータをGCP上で一元的に管理・保管することが可能になります。
  3. SIEMへの取り込み: Google Cloud Loggingに集約されたログは、さらにSIEM製品(例: Chronicle Security Operations, Splunk, Microsoft Sentinelなど)に取り込まれます。多くのSIEM製品は、Google Cloud Loggingからのデータ取り込みコネクタやAPI連携機能を備えています。

この構成により、Google Workspace MDMログだけでなく、他のGoogle Workspaceの監査ログ(Admin監査、Drive監査、Gmailログなど)もまとめてSIEMに取り込み、統合的に監視することが可能となります。

Google WorkspaceログをSIEMへ連携する具体的な方法

ここでは、Google Workspaceの監査ログ(MDMログを含む)をGoogle Cloud Logging経由でSIEMに取り込む一般的な手順の概念を解説します。

  1. Google Workspace監査ログの有効化と確認: Google Workspaceの管理コンソールで、必要な監査ログ(管理者アクティビティ、デバイスログなど)が有効になっていることを確認します。通常、これらはデフォルトで有効ですが、ポリシーによっては無効になっている可能性もあります。

  2. Google Cloudプロジェクトの準備: Google Cloud Platform (GCP) 上に、ログのエクスポート先となるプロジェクトを準備します。このプロジェクトで課金が有効になっていることを確認してください。

  3. Google Cloud Loggingへのログエクスポート設定: Google Workspaceの管理コンソールから、監査ログをGCPのCloud Loggingにエクスポートする設定を行います。これは「データエクスポート」または「監査ログのエクスポート」といった機能として提供されます。

    • 具体的な手順はGoogle Workspaceの公式ヘルプ「Google Cloud Platform にデータをエクスポートする」を参照します。
    • エクスポート先として、GCPプロジェクト内のログバケットを指定します。

  4. SIEM製品へのログ取り込み設定: Google Cloud Loggingにエクスポートされたログを、利用しているSIEM製品に取り込みます。

    • Chronicle Security Operationsの場合: ChronicleはGoogleのSIEMソリューションであり、Google Cloud LoggingからのGoogle Workspaceログ取り込みに最適化されています。GCPプロジェクトとChronicleインスタンスを連携させることで、Cloud LoggingにルーティングされたGoogle Workspaceログが自動的にChronicleに取り込まれます。特別なデータコネクタ設定は不要な場合が多いです。

    • その他のSIEM製品の場合(Splunk, Microsoft Sentinelなど): これらのSIEM製品では、GCPのPub/SubトピックやStorageバケットを経由してログを取り込むのが一般的です。

      • Cloud LoggingからログをPub/Subトピックにエクスポートするシンクを作成します。
      • SIEM製品側で、そのPub/Subトピックからログをプルするコネクタを設定します。
      • または、Cloud LoggingからCloud Storageバケットにログをエクスポートし、SIEM製品がそのバケットからログを定期的に取得する設定も可能です。

SIEMでデバイス脅威を検知するルール例

SIEMにGoogle Workspace MDMログが取り込まれたら、具体的な検知ルールを設定して脅威を早期に発見します。以下に一般的なルール例を示します。

  • 異常なデバイス登録の検知

    • ログイベント: admin.activityeventName: ADD_MOBILE_DEVICE
    • 検知ルール:
      • 通常業務時間外(例: 深夜帯や休日)に新規デバイス登録が複数回発生。
      • 短期間に特定のユーザーアカウントから複数の異なるデバイスが登録された場合。
      • 特定の国や地域からの登録が、組織の通常の活動範囲と異なる場合。
    • 目的: 不正アクセスによるデバイス登録や、ユーザーアカウント乗っ取り後の新しいデバイス追加を検知します。

  • デバイスワイプ/ロックコマンドの異常な実行

    • ログイベント: admin.activityeventName: WIPE_MOBILE_DEVICE, LOCK_MOBILE_DEVICE
    • 検知ルール:
      • 特定のユーザーアカウントが短時間に複数のデバイスにワイプコマンドを実行した場合。
      • 通常のインシデント対応プロセスを経ずに、管理者以外のユーザーがワイプやロックコマンドを実行した場合。
      • 海外からのアクセス元IPアドレスでワイプコマンドが実行された場合。
    • 目的: 悪意のある内部犯行や、管理者アカウントの乗っ取りによるデータ消去、デバイス利用妨害を検知します。

  • 不正なアプリインストールの監視

    • ログイベント: admin.activityeventName: INSTALL_APPLICATION (Android Enterpriseの場合など)
    • 検知ルール:
      • 承認されていないアプリストアからのアプリインストール。
      • MDMポリシーで禁止されている特定のカテゴリのアプリがインストールされた場合。
      • 短期間に大量の未知のアプリがインストールされた場合。
    • 目的: マルウェア感染やシャドーITによる情報漏洩リスクを低減します。

  • コンプライアンス違反の継続的監視

    • ログイベント: admin.activityeventName: DEVICE_COMPLIANCE_CHANGE など、デバイスのコンプライアンス状態を示すイベント
    • 検知ルール:
      • デバイスが長期間にわたりパスコード未設定、暗号化無効、古いOSバージョンのまま放置されている場合。
      • 特定のユーザーのデバイスが頻繁にコンプライアンス違反状態になる場合。
    • 目的: 組織のセキュリティポリシー違反を早期に発見し、是正を促します。

これらのルールはあくまで一例であり、組織のセキュリティ要件やデバイス利用状況に合わせてカスタマイズが必要です。

運用上の注意点とベストプラクティス

Google Workspace MDMログとSIEM連携を効果的に運用するためには、いくつかの注意点とベストプラクティスがあります。

  • ログの保管期間とコスト: Google Cloud LoggingやSIEM製品でのログ保管にはコストがかかります。必要な保管期間とコストを考慮し、ログの保持ポリシーを適切に設定しましょう。特に、長期的な監査要件がある場合は、コスト効率の良いストレージ層への移行も検討が必要です。

  • 検知ルールのチューニング: 最初は多くの誤検知が発生する可能性があります。運用を開始したら、定期的に検知ルールを見直し、組織の環境に合わせてチューニングすることが重要です。誤検知が多いルールは閾値を調整したり、特定のユーザーやデバイスを対象から除外したりするなどの対応が必要です。

  • インシデント対応フローの確立: SIEMが脅威を検知した際に、どのような手順で調査し、対応するのかを明確にしたインシデント対応フローを確立しておくことが不可欠です。誰がアラートを受け取り、誰が初期調査を行い、誰が最終的な判断と対応を行うのかを定めておきます。

  • 定期的な見直し: 脅威の状況やGoogle Workspace、SIEM製品の機能は常に変化します。定期的にセキュリティ体制全体を見直し、新しい脅威に対応できるよう、検知ルールやアーキテクチャをアップデートしていくことが求められます。

まとめ

Google Workspace MDMログとSIEMの連携は、デバイス起点の脅威を早期に検知し、統合的なセキュリティ監視を実現するための強力な手段です。MDMログが持つ詳細なデバイス情報をSIEMで他のログと相関分析することで、単体では見過ごされがちな潜在的なリスクを可視化できます。

本記事で解説したアーキテクチャと具体的な連携方法、そしてSIEMでの検知ルール例は、情シス担当者が自社のセキュリティレベルを一段引き上げるための実践的なヒントとなるはずです。ぜひ、この統合セキュリティ監視の構築を検討し、より強固な情報セキュリティ体制を築いていきましょう。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。