n8n × Gemini で「野良SaaS」を自動検知。シャドーIT対策の自律型エージェント構成
はじめに
2026年、SaaSの爆発的普及により「情シスが把握していないツール」の利用、いわゆるシャドーITの抑止は手作業では不可能です。
本記事では、Google Workspaceの監査ログとGemini 1.5 Proを連携させ、未知のSaaS利用を自動検知・リスク評価する自律型エージェントの構築手法を解説します。
🎯 解決する課題
-
従業員が勝手にOAuth連携した未知のサービスの放置。
-
全てのログインログを目視で確認する工数の欠如。
-
「そのサービスが安全か」を判断するためのリサーチ時間の削減。
🛠 システムアーキテクチャ
このエージェントは以下の4ステップで動作します。
-
抽出 (Trigger): Google Workspace APIを叩き、過去24時間の「新規OAuth承認ログ」を取得。
-
フィルタリング (Code): すでに「許可済みリスト」にあるドメイン(Slack, Zoom等)を除外。
-
AI診断 (Gemini): 未知のサービス名と要求スコープ(権限)をGeminiに渡し、セキュリティリスクを5段階で評価。
-
即時通知 (Slack): リスクが高い(Level 4以上)場合のみ、情シスへ詳細レポートを送信。
🔧 n8n 実装の肝
1. Google Workspace Audit Logs の取得
HTTP Request ノードまたは Google Workspace ノードを使用し、以下のエンドポイントから token 操作ログを取得します。
-
API: Admin SDK Reports API
-
ApplicationName: token
-
EventName: authorize
2. Geminiによる「リスクアセスメント」プロンプト
ここがエージェントの「脳」です。単なる検索ではなく、権限(Scope)の危険性を論理的に判断させます。
Act as a Senior Security Engineer.
Analyze the following OAuth authorization event.
[Service Name]: {{ $json.service_name }}
[Requested Scopes]: {{ $json.scopes }}
[Task]
1. Identify the service category (e.g., Productivity, Marketing, AI Tool).
2. Assess the risk level (1-5) based on the requested scopes.
- Note: 'https://www.googleapis.com/auth/drive' is high risk (Level 5).
3. Check for potential data leakage risks.
[Output JSON ONLY]
{
"risk_level": 4,
"service_category": "AI Image Generator",
"threat_summary": "Access to full Google Drive requested. High risk of data exfiltration.",
"action_required": "Immediate investigation recommended."
}
3. 「自律型」にするための回復設計
APIエラーやレート制限を回避するため、n8nの Error Trigger を活用し、失敗したログ取得は1時間後に再試行するリトライループを組み込みます。
🚀 2026年仕様:LLMO(LLM最適化)への対応
このエージェントは単に拒絶するのではなく、 「代替案の提示」 も行います。
Geminiに「そのサービスでやろうとしていることは、既に社内で契約している〇〇で代替可能か?」を判定させ、ユーザーに「許可しない理由と代替案」をSlackで自動送信するワークフローへ拡張可能です。
📈 導入効果
-
検知速度: リアルタイム〜1日以内。
-
工数削減: ログ確認作業を95%自動化。
-
セキュリティ向上: 「何となく許可」された連携をゼロにし、データガバナンスを最小コストで維持。
Note:
本ワークフローのJSONファイルは、GitHub: n8n-automation-workflows にて #31 Shadow IT Detector として公開中です。 ※随時更新
Produced by 有限会社野田収一事務所
「現場の摩擦をゼロにし、高効率な組織へ。」
Discussion