SaaS

mxHEROがGoogle Driveの共有ドライブに対応しました!

はじめに

こんにちわ、セキュリティチームのむろです。

この度、mxHEROの保管先として新たにGoogle Driveの共有ドライブへの保存に対応したので動作を検証してみました!
(元々はGoogle Driveのマイドライブへの保存には対応していました)

mxHEROで共有ドライブを利用する際の設定方法や注意点をご紹介します。

前提

  • 以下の権限が必要です
    • mxHERO管理者権限

保存先の共有ドライブに対する前提については本ブログ内で詳細を説明します。

  • 新ダッシュボード環境であること(従来のダッシュボードは未実装)

<2023/05/08時点>
既存のmxHERO環境も新ダッシュボードへ順次移行するプログラムも予定されています。
今後の状況は以下のブログの加筆にてお伝えする予定です。
https://blog.cloudnative.co.jp/16056/

本ブログの内容は、2023年5月8日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

設定方法

設定方法自体は難しくはありません。が、共有ドライブに対するアクセス権を意識する必要があります。

共有ドライブの指定はmxHEROのルール内で設定を行います。ルール全体の設定方法は以下のブログを参考にしてください。
なお、この設定方法内では「セキュリティ定義」はマイドライブ時と同様に事前に作成したセキュリティ定義を指定してください。

mxHERO ルールの設定 − 新ダッシュボード検証ブログ
はじめに こんにちわ、セキュリティチームのむろです。 先日にブログでもご案内しましたが、mxHEROの管理ダッ…
blog.cloudnative.co.jp

クラウドストレージを「組織のGoogle Drive」を選択する

  • マイドライブ利用時と同様にルール内のクラウドストレージで「組織のGoogle Drive」を選択します。

保存先の共有ドライブへの保存時に利用するアカウントを設定する

  • マイドライブ利用時と同様に保存時のアカウントを指定します。
    • ここの2種類の設定は従来と同じ考え方ではありますが、はじめに記載したように共有ドライブに対する権限を意識する必要があります。

ここで設定したアカウントで共有ドライブへ添付ファイルのアップロードがされることになります。
つまり、アップロード時のアカウントは「投稿者、コンテンツ管理者、管理者のいずれかの権限を持っている」必要があります。

「送信者/受信者に応じてストレージアカウントを自動的に選択する」設定の場合

  • mxHERO側で自動的に送信メールアドレスのアカウントに切り替えて共有ドライブに添付ファイルをアップロードします。
    • メールの送信者になる可能性があるアカウントの全員が対象の共有ドライブの投稿者以上の権限を持っているメンバーである必要があります。
    • 共有ドライブのメンバーへmxHEROを利用対象とするメールシステム側で作成したグループ(コンテンツコンプライアンスやルーティングで指定するグループ)を指定し、投稿者以上の権限を付与する運用がシンプルです。
      • アカウト個別でメンバー追加をすると後述の共有ドライブ仕様の制限である600メンバーの上限に該当しやすくなるため、グループでの権限付与をお勧めします。
    • 50000ユーザー以上の組織の場合は後述のように共有ドライブの仕様で制限があるため、ルールと共有ドライブの分割した上で分割したルールに沿ったグループをメンバーにする運用を検討する必要があります。
mxHEROのGWS環境での初期設定 − 新ダッシュボード検証ブログ
はじめに セキュリティチームのkakeruです。先日公開したブログでもご案内しましたが、mxHEROの管理ダッ…
blog.cloudnative.co.jp

「特定のストレージアカウントを使用」設定の場合

  • 指定したアカウントで共有ドライブに添付ファイルをアップロードします。
    • 指定したアカウントが対象の共有ドライブの投稿者以上の権限を持っている必要があります。

保存先の共有ドライブを指定する

  • 詳細オプションから保存先の共有ドライブを指定します。
    • アカウントを指定して、保存先の共有ドライブを選択します。
      • 指定するアカウントは「保存先の共有ドライブのメンバーである」必要があります。

保存先の共有ドライブ設定に対する考慮

自社のセキュリティポリシーによっては共有ドライブ側の設定を変更している場合があるかと思います。

これらの設定が実際に設定するmxHERO側の「ルール」や「セキュリティ定義」の組み合わせによってメールの受信者側へどのような影響があるかは検証して確認しておきましょう。

  • パブリックリンク、社外のユーザーへ共有する場合は組織外のユーザーにアクセス許可が必要です。
  • パブリックリンクで共有する場合はメンバー以外にアクセス許可が必要です。
  • セキュリティ定義で「メールの受信者がアクセス可能」の場合は閲覧者として共有されるので閲覧者への制限の設定は影響があります。
    • あくまでも「閲覧者」への制限のため、パブリックリンク設定での共有の場合、影響はありません。

共有ドライブの仕様に対する考慮

共有ドライブの仕様としてmxHEROで利用する上で特に気を付けるべき仕様があります。

共有ドライブの仕様の詳細は以下のドキュメントを参照ください。

Shared drive limits in Google Drive – Google Workspace Learning Center
support.google.com

2023/05/08時点の仕様となります、Google側によって将来変更となる可能性があります。

アイテム数の制限

共有ドライブに保存できるアイテム数は最大 40 万個です。これにはファイル、フォルダ、ショートカットが含まれます。 注: この上限は、ストレージの使用量ではなく、アイテムの数に基づきます。アイテム数はこの制限よりもかなり少なめに保つことをおすすめします。共有ドライブに多数のファイルがあると整理や検索がしにくくなるほか、コンテンツを見落とす恐れもあるためです。

40万アイテムの制限があるので、添付ファイル保存の頻度が多い場合はGASやiPaaS、APIなどを用いて定期的に自動削除や別のドライブへ退避する自動化の仕組みを検討する必要があります。

アイテム数はフォルダも対象である事、ゴミ箱内のアイテムも対象である事に注意が必要です。

なお、共有ドライブのアイテム数の利用率はGoogle Workspaceの管理コンソールから目視で確認することが可能です。

1アカウントに対する1日あたりのアップロード容量制限

個々のユーザーがマイドライブおよびすべての共有ドライブにアップロードできるのは、1 日あたり 750 GB までです。合計アップロード サイズが 750 GB に達した場合、または 750 GB を超えるサイズのファイルをアップロードした場合は、同じ日にそれ以上ファイルをアップロードできなくなります。

共有ドライブに限った話ではありませんが、1つのアカウントが行えるアップロードは750GBまでのアップロードの制限があります。 「送信者/受信者に応じてストレージアカウントを自動的に選択する」設定の場合はあまり意識する必要はないと思います。

「特定のストレージアカウントを使用」設定の場合は、1日あたりのアップロード容量の制限に該当しないか注意が必要です。制限を緩和させる方法としてグループやタグを利用して「ルール」を分割し、アップロードに利用するアカウントを分割する対応が考えられます。

メンバー数の上限

前述でも記載していますが、登録できるメンバー数には600の上限があるため、共有ドライブへの権限付与はグループを利用することをお勧めします。

次に個人(ユーザー数)の合計に 50000の上限があるため、50000ユーザー以上の組織の場合はルールと共有ドライブを分割する運用か、「特定のストレージアカウントを使用」設定でのルールを利用する必要があります。

なお、セキュリティ定義で「メールの受信者がアクセス可能」設定での宛先のメールアカウントは共有ドライブのメンバーではなく、ファイルに対する閲覧者として設定されるため、共有ドライブとしてのメンバー数を意識する必要はありません。

その他

共有ドライブの選択で「なし」を選択したら?

  • 詳細オプションで指定したアカウント指定は無視され、マイドライブへの保存設定としてルールは動作します。

「ルール」で指定するファイル保存時のアカウント権限が閲覧者やメンバーで無い場合はどうなる?

宛先にメールは届きますが、共有リンクによる添付ファイル置き換えはファイルの書き込みや共有権限がないため置き換え処理がエラーで行われず、通常の添付ファイルとして送付されます。

Google Drive内部で「insufficientParentPermissions」や「notFound」エラーになっていることがmxHEROのトレースログでわかります。

mxHERO新ダッシュボードでトラブルシュートに使うログ(レポート機能)について教えて(よくあるお問い合わせ-mxHERO編)
mxHEROでのトラブル時等に使えるログ(レポート機能)について解説したいと思います。
blog.cloudnative.co.jp

共有ドライブからマイドライブへの保管設定に戻したくなったら?

  • 前述のように「なし」を選択して、保存すると共有ドライブ設定は無視されます。
  • なお、共有ドライブ指定用のアカウントを削除してルールを保存しても共有ドライブに関する設定変更は反映されません
    • 「ルール」からアカウント指定も削除したい場合は一度、上位のクラウドストレージの選択で「「組織のGoogle Drive」以外で一度保存して、再度「組織のGoogle Drive」へ戻す必要があります。

ルールの保存後は一度「ルール」を開き直し、正しく反映されているか確認しましょう。

共有ドライブを選択する際のアカウントがどの共有ドライブのメンバーではない場合は?

  • 「No Shared drive for this account, please try again」のエラーが表示されます。
  • 該当のアカウントが共有ドライブのメンバーとなっているかGoogle Workspace側で確認してみてください。

共有ドライブってコンテンツ管理者じゃなくて投稿者でもファイル共有できるの?

  • mxHEROとは直接関係のない話ではありますが、共有ドライブの権限設定の説明から投稿者権限はファイルの共有ができないように読み取れます。しかし、実際には「ファイル」の共有は投稿者権限で直接可能です。
  • Googleサポートへ確認したところ、投稿者権限がファイルの共有は直接可能な挙動は仕様として正しいという事です。
    • 一方で「フォルダ」の共有は直接行えず、管理者のへ許可制となります。

おわりに

これからもmxHEROの新管理ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。

また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。

mxHEROの新ダッシュボードが公開されたよ!
はじめに こんにちわ、セキュリティチームのむろです。 mxHEROの管理ダッシュボードのデザインや機能に対する…
blog.cloudnative.co.jp

むろ

おいしいおつまみとお酒が好きです。
最近ハマっているのは芋焼酎のソーダ割り。

履き物の基本は下駄の人です。
好きな漫画はワールドトリガーです。

記事一覧