MAS-206: GASフェーズ: 外部共有の制限と警告設定

概要

目的

スプレッドシート・ドライブファイルの意図しない組織外共有を検知・通知し、情報漏洩リスクを低減する。Google Workspace 管理コンソールによるポリシー設定（コンポーネント1）と、GAS バッチによる Admin SDK 経由の監査イベント監視（コンポーネント2）を組み合わせ、財務データの不正外部共有をリアルタイムに近い形で検知する体制を構築する。

アーキテクチャ概要

本案件は 2 コンポーネント構成で実装する。

データフロー（コンポーネント2）:

GAS 時間トリガー（日次）
  → checkExternalFileSharing_()
    → PropertiesService から前回チェックタイムスタンプ取得
    → AdminReports.Activities.list() で acl_change イベント取得（ページネーション対応）
    → ホワイトリスト（03_sys_params の SHARING_WHITELIST）と照合
    → 非該当の外部共有を検知リストに追加
    → 検知あり → MailApp.sendEmail() で CFG_ADMIN_EMAIL 宛に通知
    → Utils.auditLog() でバッチ実行を監査証跡に記録
    → PropertiesService にタイムスタンプ更新

修正方針

コンポーネント1: Google Workspace 管理コンソール設定（手動・手順書化）

GAS コードの変更は不要。 Google Workspace 管理者が管理コンソールで設定する運用手順。

設定手順

1. Google 管理コンソール（admin.google.com）にスーパー管理者でサインイン
2. アプリ → Google Workspace → ドライブとドキュメント を開く
3. 共有設定 を選択
4. 組織外との共有 セクションを確認し、以下のいずれかを設定する:

どちらの設定を選択するかは「人間が検討すべき事項」に委ねる。外部税理士・会計士への共有を行う場合は「オン（警告あり）」を選択し、コンポーネント2 のホワイトリストで検知除外する方式が現実的。

5. 対象の組織部門（OU）を選択し、保存 をクリック

推奨設定（ドライブ共有オプション）

コンポーネント2: GAS 監査ログ定期チェックバッチ（自動・新規実装）

新規ファイル: 800_ops/811_audit_checker.js

関数名: checkExternalFileSharing_()

設定キー（03_sys_params に追加）

Constants.getParam('SHARING_WHITELIST', '') で取得（03_sys_params シートを参照。000_infra/002_constants.js 行 147〜167）。

実装ロジック

/**
 * N-30: Drive 外部共有の定期チェックバッチ
 * Admin SDK Reports API で acl_change イベントを取得し、
 * ホワイトリスト外の外部共有を検知して管理者にメール通知する。
 */
function checkExternalFileSharing_() {
  // 1. 多重起動防止
  var lock = LockService.getScriptLock();
  if (!lock.tryLock(30000)) {
    Utils.logInfo('checkExternalFileSharing_', '別のインスタンスが実行中のためスキップ');
    return;
  }

  try {
    var FUNC = 'checkExternalFileSharing_';

    // 2. ホワイトリスト・通知先取得
    var whitelistRaw = Constants.getParam('SHARING_WHITELIST', '');
    var whitelist = whitelistRaw
      ? whitelistRaw.split(',').map(function(s) { return s.trim().toLowerCase(); })
      : [];
    if (!whitelistRaw) Utils.logInfo(FUNC, 'SHARING_WHITELIST 未設定: 全外部共有を通知対象とします');

    var adminEmail = Constants.getParam('CFG_ADMIN_EMAIL', '');
    if (!adminEmail) {
      Utils.logError(FUNC, new Error('CFG_ADMIN_EMAIL が未設定。メール通知をスキップします'), '03_sys_params を確認してください');
      Utils.auditLog('RUN', '', '', '', FUNC, null, null, 'CFG_ADMIN_EMAIL 未設定によりスキップ');
      return;
    }

    // 3. 前回チェックタイムスタンプ取得（オペレーショナルな状態管理のため PropertiesService 直接使用を許容）
    var props = PropertiesService.getScriptProperties();
    var lastCheckedAt = props.getProperty('N30_LAST_CHECKED_AT');
    var startTime;
    if (lastCheckedAt) {
      startTime = lastCheckedAt;
    } else {
      // 初回実行時は 24 時間前から
      var since = new Date();
      since.setHours(since.getHours() - 24);
      startTime = since.toISOString();
      Utils.logInfo(FUNC, '初回実行: 過去24時間分を処理対象とします');
    }

    // 4. Admin SDK でイベント取得（ページネーション対応）
    var violations = [];
    var pageToken = null;
    do {
      var params = {
        eventName: 'acl_change',
        startTime: startTime,
        maxResults: 1000
      };
      if (pageToken) params.pageToken = pageToken;

      var response = AdminReports.Activities.list('all', 'drive', params);
      var activities = response.items || [];

      activities.forEach(function(activity) {
        var actor = (activity.actor && activity.actor.email) || '';
        // 共有者が組織外の場合はスキップ（組織外アカウントの行動は管理コンソール側で制御）
        if (!actor || actor.indexOf('@') < 0) return;

        var events = activity.events || [];
        events.forEach(function(event) {
          var params_ = event.parameters || [];
          var targetUser = '';
          var targetDomain = '';
          params_.forEach(function(p) {
            if (p.name === 'target_user') targetUser = (p.value || '').toLowerCase();
            if (p.name === 'target_domain') targetDomain = (p.value || '').toLowerCase();
          });

          // ホワイトリスト照合
          var isWhitelisted = whitelist.some(function(w) {
            return targetUser.endsWith('@' + w) || targetUser === w || targetDomain === w;
          });

          // 組織外（ドメイン付きかつホワイトリスト外）のみ検知
          var isExternal = targetUser && targetUser.indexOf('@') >= 0;
          if (isExternal && !isWhitelisted) {
            violations.push({
              actor: actor,
              targetUser: targetUser || targetDomain,
              fileId: activity.id && activity.id.uniqueQualifier ? activity.id.uniqueQualifier : '',
              time: activity.id && activity.id.time ? activity.id.time : ''
            });
          }
        });
      });

      pageToken = response.nextPageToken || null;
    } while (pageToken);

    // 5. 検知リストがあればメール通知
    if (violations.length > 0) {
      var bodyLines = ['Drive 外部共有が検知されました（ホワイトリスト外）:\n'];
      violations.forEach(function(v, i) {
        bodyLines.push((i + 1) + '. 共有者: ' + v.actor + ' / 共有先: ' + v.targetUser + ' / ファイルID: ' + v.fileId + ' / 日時: ' + v.time);
      });
      bodyLines.push('\n03_sys_params の SHARING_WHITELIST を確認・更新してください。');

      MailApp.sendEmail({
        to: adminEmail,
        subject: '[N-30 アラート] Drive 外部共有検知: ' + violations.length + '件',
        body: bodyLines.join('\n')
      });
      Utils.logInfo(FUNC, 'メール通知送信: ' + violations.length + '件の外部共有を検知');
    } else {
      Utils.logInfo(FUNC, 'ホワイトリスト外の外部共有は検知されませんでした');
    }

    // 6. 監査証跡
    Utils.auditLog('RUN', '', '', '', FUNC, null, null, '検知: ' + violations.length + '件');

    // 7. タイムスタンプ更新（オペレーショナルな状態管理のため PropertiesService 直接使用を許容）
    props.setProperty('N30_LAST_CHECKED_AT', new Date().toISOString());

  } catch (e) {
    Utils.logError('checkExternalFileSharing_', e, 'Admin SDK 呼び出しまたはメール送信で例外が発生');
  } finally {
    lock.releaseLock();
  }
}

appsscript.json の更新

oauthScopes 配列に以下を追記:

"https://www.googleapis.com/auth/admin.reports.audit.readonly"

advancedServices 配列に以下を追記:

{
  "userSymbol": "AdminReports",
  "version": "reports_v1",
  "serviceId": "admin"
}

重要: clasp push だけでは Advanced Services は有効化されない。GAS エディタで「サービス」→「Admin SDK API」を手動で有効化する必要がある（詳細は「動作確認」手順を参照）。

時間トリガーの登録

checkExternalFileSharing_ は末尾 _ でプライベート関数のため、GAS エディタのトリガー UI から直接選択できない。代わりに プログラム経由で登録するインストール関数 を使用する (MAS-201 installBackupTriggers と同パターン)。

登録手順:

1. GAS エディタ (prod 環境) を開く
2. 関数プルダウンから installAuditCheckerTrigger を選択
3. 実行ボタンをクリック → 初回は権限承認ダイアログに同意
4. 成功アラート「✅ MAS-206 外部共有監視の日次トリガーを登録しました。...新規 1 件を登録。- 日次: AM6時 (JST)」を確認

解除手順:

• uninstallAuditCheckerTrigger を実行すれば日次トリガーを一括削除できる

注意:

• dev 環境で installAuditCheckerTrigger を実行すると、外部共有イベントがほぼ発生しないため通知ノイズ回避のためトリガー登録を スキップ する仕様 (アラートのみ表示)。本番運用は prod のみ
• isPrivilegedUser_() による権限チェック付き。非特権ユーザーが実行すると拒否される (MAS-205 Part 2 と連動)

影響範囲

注意事項

1. Constants.getParam は 03_sys_params シートを参照する。 設定キー（SHARING_WHITELIST, CFG_ADMIN_EMAIL）は 03_sys_params シートに追加すること（01_sys_config ではない）。
2. Admin SDK Reports API は Google Workspace Business/Enterprise プランが必要。 Google Workspace Essentials や Google Workspace Frontline では利用不可。事前にプランを確認すること。
3. PropertiesService.getScriptProperties() はオペレーショナルな状態管理（タイムスタンプ保存）に限り直接使用する。 環境設定値（スプレッドシートID・API キー等）の読み取りには引き続き Env モジュールを使用すること（CLAUDE.md コーディング規約に準拠）。
4. appsscript.json への advancedServices 追記と GAS エディタでの Admin SDK 手動有効化が必須。 clasp push だけでは Advanced Services は有効化されない。有効化を忘れると AdminReports is not defined エラーが発生する。
5. Admin SDK を使用する実行アカウントは Google Workspace 管理者権限が必要。 時間トリガーの実行アカウントが管理者でない場合、AdminReports.Activities.list() が権限エラーをスローする。トリガーを管理者アカウントで設定すること。

エッジケース

実データ検証

実装前に以下を MCP または手動で確認すること。

関連ドキュメント

人間が検討すべき事項

以下は Workspace 管理者（PO 兼務可）が意思決定する項目。

実装プロンプト（Claude Code 用）

あなたはGAS会計システム(bizlp-gas-accounting)のシニア開発者です。
案件 MAS-206「GASフェーズ: 外部共有の制限と警告設定」を実装してください。

## 実行前タスク
1. `CLAUDE.md` で 800_ops/ 配下の既存ファイル番号を確認し、新規ファイルの番号を確定する（810 は使用済みのため 811 以降）
2. `000_infra/002_constants.js` の `Constants.getParam` 実装を Read し、読み取り対象シートが `03_sys_params` であることを確認する（行 147〜167）
3. `000_infra/004_utils.js` の `Utils.logInfo` / `Utils.logError` / `Utils.auditLog` のシグネチャを確認する（logInfo: 行 232、logError: 行 242、auditLog: 行 273）
4. `appsscript.json` を Read し、現在の oauthScopes リストと advancedServices の有無を確認する
5. `03_sys_params` シートに `SHARING_WHITELIST` と `CFG_ADMIN_EMAIL` の行が存在するか確認し、なければ手動追加する

## 修正対象ファイル（新規作成のみ・既存コード変更最小）
- `800_ops/811_audit_checker.js` — 新規作成
- `appsscript.json` — oauthScopes への追記および advancedServices への Admin SDK 追記

## 実装内容（ステップ順）

### Step 1: 新規ファイル `800_ops/811_audit_checker.js` の作成
`checkExternalFileSharing_()` 関数を以下のロジックで実装する:
1. `LockService.getScriptLock()` で排他制御（tryLock(30000)、取得失敗時は Utils.logInfo でスキップを記録して早期 return）
2. `Constants.getParam('SHARING_WHITELIST', '')` でホワイトリストを取得し、カンマ分割・trim して配列化（空の場合は空配列として全件通知モード）
3. `Constants.getParam('CFG_ADMIN_EMAIL', '')` で通知先アドレスを取得（空の場合は Utils.logError で記録して return）
4. `PropertiesService.getScriptProperties().getProperty('N30_LAST_CHECKED_AT')` で前回タイムスタンプを取得（未設定時は 24 時間前の ISO 文字列を使用）
5. `AdminReports.Activities.list('all', 'drive', { eventName: 'acl_change', startTime: startTime, maxResults: 1000 })` でイベント取得
6. `nextPageToken` がある間はループして全件取得（ページネーション）
7. 各イベントの `actor.email` を確認し、組織外共有先（`target_user` / `target_domain` パラメータ）とホワイトリストを照合し、非該当のものを violations 配列に追加
8. violations が空でなければ `MailApp.sendEmail()` で adminEmail 宛に通知（件名・本文に「誰が・いつ・ファイルID・誰に」を含める）
9. `Utils.auditLog('RUN', '', '', '', 'checkExternalFileSharing_', null, null, '検知: N件')` を記録
10. `PropertiesService.getScriptProperties().setProperty('N30_LAST_CHECKED_AT', new Date().toISOString())` でタイムスタンプ更新
11. finally ブロックで `lock.releaseLock()`

### Step 2: `appsscript.json` の更新
- `oauthScopes` 配列に `"https://www.googleapis.com/auth/admin.reports.audit.readonly"` を追記
- `advancedServices` 配列（なければ新規追加）に以下を追記:
  ```json
  {
    "userSymbol": "AdminReports",
    "version": "reports_v1",
    "serviceId": "admin"
  }
  ```

### Step 3: GAS エディタでの Admin SDK 手動有効化（コード実装後）
- GAS エディタ → 「サービス」(+ボタン) → 「Admin SDK API」を検索して追加
- `clasp push` 後に必ず実施する

## 制約
- 既存ファイルへのロジック変更は `appsscript.json` 以外禁止
- `01_sys_config` に設定キーを追加しない（`03_sys_params` のみ）
- `PropertiesService.getScriptProperties()` はタイムスタンプ保存（キー: `N30_LAST_CHECKED_AT`）にのみ使用し、環境設定値の読み取りには使用しない
- 列番号のハードコード禁止（ヘッダー名ベースでのアクセスを徹底）
- メニューへの登録は不要（時間トリガーで自動実行するバッチのため）

## エッジケース
（仕様書の「エッジケース」セクション参照）

## 動作確認
1. `03_sys_params` シートに `SHARING_WHITELIST`（値: テスト用ドメインを除いた文字列）と `CFG_ADMIN_EMAIL`（自身のメールアドレス）を手動追記する
2. `npm run push:dev` でデプロイ
3. GAS エディタで「サービス」→「Admin SDK API」が有効化されていることを確認する
4. `checkExternalFileSharing_()` を GAS エディタから手動実行し、エラーなく完了することを確認する
5. `98_audit_log` シートに `RUN / checkExternalFileSharing_ / 検知: 0件` の記録が書き込まれていることを確認する
6. テスト用の外部共有を実施し、バッチを再実行して通知メールが届くことを確認する（`N30_LAST_CHECKED_AT` を削除してから再実行すること）
7. 重複実行防止の確認: 連続実行時に同一イベントが二重通知されないことを確認（`N30_LAST_CHECKED_AT` のスクリプトプロパティが更新されていること）
8. 動作確認後 `git push` → PR → main マージ

### 拡張思考の使用状況
| フェーズ | 拡張思考 | 備考 |
|---------|---------|------|
| Phase 1（調査・設計） | あり | ファイル番号確定・設定キー設計 |
| Phase 2（実装） | なし | Phase 1 確定内容の実装に徹する |

推奨実行モデル

変更履歴

仕様書作成プロンプト（再現性・監査性のため必ず記録）

# N-30: GASフェーズ: 外部共有の制限と警告設定
## 概要
## 目的
## アーキテクチャ概要
## 修正方針
### コンポーネント1: Google Workspace 管理コンソール設定（手動・手順書化）
### コンポーネント2: GAS 監査ログ定期チェックバッチ（自動・新規実装）
## 影響範囲
## 注意事項
## エッジケース
## 実データ検証
## 関連ドキュメント
## 人間が検討すべき事項
## 実装プロンプト（Claude Code 用）
## 推奨実行モデル
## 変更履歴
## 仕様書作成プロンプト（再現性・監査性のため必ず記録）

あなたはGAS会計システム(bizlp-gas-accounting)のシニア開発者です。
案件 MAS-206「GASフェーズ: 外部共有の制限と警告設定」を実装してください。

## 実行前タスク
1. `CLAUDE.md` で 800_ops/ 配下の既存ファイル番号を確認し、新規ファイルの番号を確定する
2. `000_infra/002_constants.js` の `Constants.getParam` 実装を Read し、読み取り対象シートが `03_sys_params` であることを確認する
3. `000_infra/004_utils.js` の `Utils.logInfo` / `Utils.logError` / `Utils.auditLog` のシグネチャを確認する
4. `100_config/101_sys_config.js` の `onOpen()` を Read し、時間トリガー登録の既存パターンを確認する
5. `appsscript.json` を Read し、現在の oauthScopes リストを確認する

## 修正対象ファイル（新規作成のみ）
- `800_ops/8XX_audit_checker.js`（XX は Phase 1 で確定した番号）— 新規作成
- `appsscript.json` — oauthScopes への `https://www.googleapis.com/auth/admin.reports.audit.readonly` 追記、および advancedServices への Admin SDK 追記

## 実装内容（ステップ順）

### Step 1: 新規ファイル作成
`checkExternalFileSharing_()` 関数を以下のロジックで実装する:
1. `LockService.getScriptLock()` で排他制御（tryLock(30000)、取得失敗時は早期 return）
2. `Constants.getParam('SHARING_WHITELIST', '')` でホワイトリストを取得し、カンマ分割して配列化
3. `Constants.getParam('CFG_ADMIN_EMAIL', '')` で通知先アドレスを取得
4. `PropertiesService.getScriptProperties().getProperty('N30_LAST_CHECKED_AT')` で前回タイムスタンプを取得（未設定時は 24 時間前を使用）
5. `AdminReports.Activities.list('all', 'drive', { eventName: 'acl_change', startTime: lastCheckedAt, maxResults: 1000 })` でイベント取得
6. `nextPageToken` がある間はループして全件取得
7. 各イベントの外部共有先アドレス/ドメインをホワイトリストと照合し、非該当のものを検知リストに追加
8. 検知リストが空でなければ `MailApp.sendEmail()` で管理者に通知（件名・本文に「誰が・いつ・ファイルID/リンク・誰に」を含める）
9. `Utils.auditLog('RUN', '', '', '', 'checkExternalFileSharing_', null, null, '検知:N件')` を記録
10. `PropertiesService.getScriptProperties().setProperty('N30_LAST_CHECKED_AT', new Date().toISOString())` でタイムスタンプを更新
11. LockService を release()

### Step 2: appsscript.json の更新
- `oauthScopes` 配列に `"https://www.googleapis.com/auth/admin.reports.audit.readonly"` を追記
- `advancedServices` 配列に Admin SDK Reports API エントリを追記

### Step 3: 時間トリガーの登録（101_sys_config.js のメニューまたは別途手動）
- 101_sys_config.js の既存パターンに倣い、日次トリガー登録関数を追加するか、手動登録手順を動作確認に記載する

## 制約
- 既存ファイルへのロジック変更は appsscript.json 以外禁止
- `01_sys_config` に設定キーを追加しない（`03_sys_params` のみ）
- `PropertiesService.getScriptProperties()` はタイムスタンプ保存にのみ使用し、環境設定値の読み取りには使用しない
- 列番号のハードコード禁止（ヘッダー名ベースでのアクセスを徹底）

## エッジケース
（仕様書の「エッジケース」セクション参照）

## 動作確認
1. `03_sys_params` シートに `SHARING_WHITELIST`（値: テスト用ドメインを除いた文字列）と `CFG_ADMIN_EMAIL`（自身のメールアドレス）を手動追記する
2. GAS エディタで「サービス」→「Admin SDK API」が有効化されていることを確認する
3. `checkExternalFileSharing_()` を GAS エディタから手動実行し、エラーなく完了することを確認する
4. テスト用の外部共有を実施し、バッチを再実行して通知メールが届くことを確認する
5. 重複実行時に同一イベントが二重通知されないことを確認する（`N30_LAST_CHECKED_AT` のスクリプトプロパティが更新されていること）
6. `98_audit_log` シートに実行記録が書き込まれていることを確認する
7. `npm run push:dev` → GAS 動作確認後 `git push` → PR → main マージ

### 拡張思考の使用状況
| フェーズ | 拡張思考 | 備考 |
|---------|---------|------|
| Phase 1（調査・設計） | あり | ファイル番号確定・設定キー設計 |
| Phase 2（実装） | なし | Phase 1 確定内容の実装に徹する |

{ "file": "dev/dev_mas-206_external_sharing_policy.md", "title": "E.1.X N-30 外部共有の制限と警告" }

| 2026-04-20 | [dev_mas-206_external_sharing_policy.md](dev_mas-206_external_sharing_policy.md) | 初版作成。外部共有制限・GAS監査バッチの設計 |

git add docs/dev/dev_mas-206_external_sharing_policy.md docs/_config.json docs/_internal/changelog.md
git commit -m "docs: N-30 外部共有の制限と警告設定の開発仕様書を作成

2コンポーネント構成（Workspace管理コンソール手順書 + GAS監査バッチ）。
Admin SDK Reports API を使用した acl_change イベント検知ロジックを設計。
設定キーは03_sys_paramsに配置（Constants.getParam経由）。"
git push -u origin {現在のブランチ}