Google Workspace共有ドライブの権限設定を出力するGAS

前置き

気分を入れ替えて今日はまじめに情シスっぽい話を書こうと思います。
事業スピード優先という名目でGoogle Workspaceでのファイル共有の設定を事業部/ユーザー側に任せている企業は多いんじゃないでしょうか。

ただ監査ログを調べてみると本当にその共有設定で大丈夫？と疑問になることもあります。Bynameでの招待でなく「リンクを知っている全員」の設定であったりするとドキドキしちゃいますよね😇
せめてマイドライブでの共有は禁止して内部統制をしやすい共有ドライブに一本化したいものです。

安心して業務を行ってもらえる環境を作るには？

共有ドライブの設定などは下記のnote記事にある方法を実装するのが良さそうです。
・マイドライブ上は外部共有はポリシーでNGとする
・情シスが管理する共有ドライブ上でのみ外部共有が可能とする

これで安心して外部共有を行える環境を作れそうです。

現状把握

ただこの方法を実行する前に現状把握をしておきたいと思います。
マイドライブについて外部共有をポリシーで禁止してしまうとすぐに外部共有が解除されてしまいます。
現状把握した上で適切なアナウンスと移行期間を設定しないと事業部/ユーザーから非難轟々になってしまいます。

ユーザー各個人のマイドライブ上の共有設定をスクリプトなどで一覧表示する方法はなさそうでした。（調べたけど途中でチカラ尽きた
ただ、監査ログで共有権限が変更されたというアクションベースであれば抽出可能であり、弊社の場合はかなりの数が社外ドメインと共有や「リンクを知っている全員」に設定されている事実が判明しました。

また移行先となる共有ドライブについても現在は事業部/ユーザーが自由に作成と共有設定が行える状態なのでこちらも現状把握する必要があります。

共有ドライブの権限設定を出力するGAS作りました。

1.共有ドライブ一覧を出力するGAS
2.共有ドライブ毎に設定されている権限設定を出力するGAS

スプレッドシートのスクリーンショットを貼ろうとおもったんですがコンフィデンシャルな内容ばかりで無理でした😎

今後の予定（仮）

今後弊社で行おうとしているタスクです。
同じような課題を抱えている情シスのみなさん参考にしてええんやで🤗

移行対応
・ルールと移行スケジュールのアナウンス
・共有ドライブ作成を特権管理者のみへ制限
・既存共有ドライブの整理
・移行先共有ドライブ作成申請受付（管理監督者や共有目的など）
　※棚卸し時に対応いただく人として管理監督者を設定し台帳管理を行う
・外部共有を行う共有ドライブは接頭辞にext-をつける
・ユーザーによるマイドライブから共有ドライブへの移行
・マイドライブ上の設定変更前のアナウンス

運用段階
・定期的な現状把握
・共有ドライブに対する申請対応（新規作成、メンバーの追加・削除、管理監督者の変更）
・管理監督者による定期的な棚卸しを促進
・棚卸しは3ヶ月毎ぐらいを想定（6ヶ月毎だと不要な共有の防止には弱さそう）

さいごに

今回、現状を調べてみて課題の大きさを漠然とした規模感からざっくりとした数値として把握することができました。
正直なところ確認できた数値をみて共有ドライブへの一本化し綺麗な状態にするにはかなり時間がかかりそうです。
安全な環境をつくるには事業部/ユーザー側とのコミュニケーションを丁寧に行い良好な関係を維持することのほうが大切なので技術的な部分以外での腕の見せ所だなと感じます。

やっていくしかねぇなという気持ちなのでガンバリマス💪😎💪