機密データを格納する BigQuery データ ウェアハウスを保護する

多くの組織では、機密情報を格納するデータ ウェアハウスをデプロイし、さまざまなビジネス目的でデータを分析できるようにしています。このドキュメントは、BigQuery を使用してデータ ウェアハウスをデプロイおよび保護するデータ エンジニアとセキュリティ管理者を対象としています。これは、以下で構成されるセキュリティ ブループリントの一部です。

  • 一連のTerraform の構成とスクリプトを含む GitHub リポジトリ。Terraform 構成を使用して Google Cloud に環境を設定し、機密データを格納するデータ ウェアハウスをサポートします。

  • このブループリントを使用して実装するアーキテクチャ、設計、セキュリティ管理のガイド(このドキュメント)。

  • サンプル環境をデプロイするチュートリアル

このドキュメントでは、次のトピックについて説明します。

  • 本番環境におけるデータ ウェアハウスの保護に使用できるアーキテクチャと Google Cloud サービス。

  • データの匿名化、差分処理など、Google Cloud でデータ ウェアハウスを作成、デプロイ、運用する際のデータ ガバナンスのベスト プラクティスで、対象には機密データ、列レベルのアクセス制御を含む。

このドキュメントは、Google Cloud セキュリティ基盤ガイドに説明されているように、基本的なセキュリティ管理の構成が完了していることを前提としています。既存のセキュリティ管理に追加の管理機能を追加して、データ ウェアハウス内の機密データを保護できます。

概要

BigQuery などのデータ ウェアハウスを使用すると、企業はビジネスデータを分析して分析情報を得ることができます。アナリストはデータ ウェアハウスに保存されているビジネスデータにアクセスして分析情報を作成します。データ ウェアハウスに機密データが含まれている場合は、ビジネスデータ(保存中、転送中、分析中)のセキュリティ、機密性、整合性、可用性を維持するための措置を取る必要があります。このブループリントでは、次のことを行います。

  • 機密データへのアクセスを保護するコントロールを構成します。
  • データ パイプラインを保護するコントロールを構成します。
  • ペルソナごとに職掌の分離を適切に構成します。
  • 機密データを検出、匿名化するためのテンプレートを設定します。
  • 適切なセキュリティ管理とロギングを設定して、機密データを保護します。
  • データ分類とポリシータグを使用して、データ ウェアハウス内の特定の列へのアクセスを制限します。

アーキテクチャ

機密データ ウェアハウスを作成するには、データを機密および非機密として分類し、そのデータを別々の境界に保存する必要があります。次の図は、取り込まれたデータの分類、匿名化、保存を表しています。また、分析のためにオンデマンドで機密データを再識別する方法も説明します。

機密データを格納するデータ ウェアハウスのアーキテクチャ。

このアーキテクチャでは、次の Google Cloud のサービスと機能を組み合わせて使用します。

  • Identity and Access Management(IAM)Resource Manager では、アクセスとセグメントのリソースが制限されます。アクセス制御とリソース階層は、最小権限の原則に従います。

  • VPC Service Controls は、承認、アクセス制御、安全なデータ交換を設定してサービスとリソースを分離するセキュリティ境界を作成します。境界は次のとおりです。

    • 受信データ(バッチまたはストリーム)を受け入れて匿名化するデータ取り込み境界。別のランディング ゾーンを使用すると、残りのワークロードを受信データから保護できます。

    • 機密データを再識別して制限された場所に保存できる機密データ境界。

    • 暗号鍵を保管し、機密データとみなされるガバナンスを定義するガバナンス境界。

    これらの境界は、受信コンテンツを保護し、追加のアクセス制御とモニタリングを設定して機密データを分離し、ガバナンスをウェアハウスの実際のデータから分離するように設計されています。ガバナンスには、鍵管理、データカタログ管理、ロギングが含まれます。

  • Cloud StoragePub/Sub は、次のようにデータを受信します。

    • Cloud Storage: 匿名化の前にバッチデータを受信して保存します。Cloud Storage は TLS を使用して転送中のデータを暗号化し、デフォルトではストレージ内のデータを暗号化します。暗号鍵は顧客管理の暗号鍵(CMEK)です。Identity and Access Management、アクセス制御リスト(ACL)、ポリシー ドキュメントなどのセキュリティ制御を使用して、Cloud Storage バケットへのアクセスを保護することができます。サポートされているアクセス制御の詳細については、アクセス制御の概要をご覧ください。

    • Pub/Sub: 匿名化する前にストリーミング データを受信して保存します。Pub/Sub は、認証アクセス制御メッセージ レベルの暗号化と CMEK を使用して、データを保護します。

  • 次の 2 つの Dataflow パイプラインは、機密データの匿名化と再識別を行います。

    • 最初のパイプラインは、仮名化を使用して機密データを匿名化します。
    • 2 番目のパイプラインでは、承認されたユーザーがアクセス権を必要とするときに、機密データを再識別します。

    データを保護するため、Dataflow はパイプラインごとに一意のサービス アカウントと暗号鍵、アクセス制御を使用します。バックエンド サービスに移動することでパイプラインの実行を保護するために、Dataflow は Streaming Engine を使用します。詳細については、Dataflow のセキュリティと権限をご覧ください。

  • Cloud Data Loss Prevention(Cloud DLP)は、取り込み中に機密データを匿名化します。

    Cloud DLP は、検出された infoType またはレコードに基づいて、構造化データと非構造化データを匿名化します。

  • Cloud HSM は鍵暗号鍵(KEK)をホストします。Cloud HSM は、クラウドベースのハードウェア セキュリティ モジュール(HSM)サービスです。

  • Data Catalog では、取り込み時にメタデータ(ポリシータグとも呼ばれます)を使用して機密データを自動的に分類します。また、Data Catalog はメタデータを使用して機密データへのアクセスを管理します。詳細については、Data Catalog の概要をご覧ください。データ ウェアハウス内のデータへのアクセスを制御するには、機密データを含む列にポリシータグを適用します。

  • BigQuery では、機密データは機密データ境界に保存されます。

    BigQuery では、コンテンツを保護するため、アクセス制御、機密データの列レベルのセキュリティデータ暗号化を含む、さまざまなセキュリティ コントロールを使用します。

  • Security Command Center は、Google Cloud 環境全体でのセキュリティ検出結果を 1 か所でモニタリングして確認します。

組織 (organization) の構造

組織のリソースをグループ化して管理し、テスト環境を本番環境から分離できます。Resource Manager を使用すると、プロジェクト、フォルダ、組織ごとに論理的にリソースをグループ化できます。

次の図は、ブートストラップ、共通、本番環境、非本番環境(またはステージング)、開発などのさまざまな環境を表すフォルダを含むリソース階層を示しています。ブループリント内のほとんどのプロジェクトは本番フォルダにデプロイします。また、データ ガバナンス プロジェクトをガバナンスに使用する共通フォルダにデプロイします。

機密データ ウェアハウスのリソース階層。

フォルダ

フォルダを使用して、本番環境とガバナンス環境を非本番環境やテスト環境から分離します。次の表では、このブループリントで使用されるセキュリティ基盤のブループリントのフォルダについて説明しています。

フォルダ 説明
本番 テスト済みですぐに使用できるクラウド リソースがあるプロジェクトが含まれます。
一般 ガバナンス プロジェクトなど、組織の一元化されたサービスが含まれます。

これらのフォルダの名前は組織のフォルダ構造に合わせて変更できますが、同様の構造にすることをおすすめします。詳細については、Google Cloud セキュリティ基盤のブループリントをご覧ください。

プロジェクト

プロジェクトを使用して環境の一部を分離します。次の表に、組織内で必要なプロジェクトを示します。これらのプロジェクトは、Terraform コードを実行するときに作成します。これらのプロジェクトの名前は変更できますが、同様のプロジェクト構造を維持することをおすすめします。

プロジェクト 説明
データの取り込み データを受信して機密データを匿名化するために必要なサービスが含まれています。
ガバナンス 鍵管理、ロギング、データ カタログ機能を提供するサービスが含まれます。
機密ではないデータ 匿名化されたデータを格納するために必要なサービスが含まれています。
機密データ 機密データの保存と再識別に必要なサービスが含まれています。

これらのプロジェクトに加えて、Dataflow Flex テンプレート ジョブをホストするプロジェクトも環境に含める必要があります。Flex テンプレート ジョブは、ストリーミング データ パイプラインに必要です。

ロールとグループをプロジェクトにマッピング

組織内のさまざまなユーザー グループに、機密データ ウェアハウスを構成するプロジェクトへのアクセス権を付与する必要があります。以下のセクションでは、作成するプロジェクトのユーザー グループとロールの割り当てに関するブループリントの推奨事項について説明します。組織の既存の構造に合わせてグループをカスタマイズできますが、同様の職務分離とロール割り当てを維持することをおすすめします。

データ アナリスト グループ

データ アナリストはウェアハウスのデータを分析します。次の表に示すように、このグループには異なるプロジェクトのロールが必要です。

プロジェクト マッピング Roles
データの取り込み

機密データへのアクセスを必要とするデータ アナリストの追加ロール:

機密データ
  • roles/bigquery.dataViewer
  • roles/bigquery.jobUser
  • roles/bigquery.user
  • roles/dataflow.viewer
  • roles/dataflow.developer
  • roles/logging.viewer
機密ではないデータ
  • roles/bigquery.dataViewer
  • roles/bigquery.jobUser
  • roles/bigquery.user
  • roles/logging.viewer

データ エンジニア グループ

データ エンジニアは、データ パイプラインとデータ ウェアハウスを設定して維持します。次の表に示すように、このグループには異なるプロジェクトのロールが必要です。

プロジェクト マッピング Roles
データの取り込み
機密データ
  • roles/bigquery.dataEditor
  • roles/bigquery.jobUser
  • roles/cloudbuild.builds.editor
  • roles/cloudkms.viewer
  • roles/compute.networkUser
  • roles/dataflow.admin
  • roles/logging.viewer
機密ではないデータ
  • roles/bigquery.dataEditor
  • roles/bigquery.jobUser
  • roles/cloudkms.viewer
  • roles/logging.viewer

ネットワーク管理者グループ

ネットワーク管理者はネットワークを構成します。通常、ネットワーク チームのメンバーです。

ネットワーク管理者には、組織レベルで次のロールが必要です。

セキュリティ管理者グループ

セキュリティ管理者は、アクセス、鍵、ファイアウォール ルール、VPC Service Controls、Security Command Center などのセキュリティ制御を管理します。

セキュリティ管理者には、組織レベルで次のロールが必要です。

セキュリティ アナリスト グループ

セキュリティ アナリストは、セキュリティ インシデントと Cloud DLP の検出結果をモニタリングし、対応します。

セキュリティ アナリストには、組織レベルで次のロールが必要です。

必要なセキュリティ管理について

このセクションでは、データ ウェアハウスの保護に役立つ Google Cloud 内のセキュリティ管理について説明します。検討すべき主要なセキュリティ原則は次のとおりです。

  • 最小権限の原則を導入することでアクセスを保護する。

  • セグメンテーションの設計とポリシーでネットワーク接続を保護する。

  • 各サービスの構成を保護する。

  • リスクレベルに基づいてデータを分類、保護する。

  • データ ウェアハウスをホストする環境のセキュリティ要件を把握する。

  • 検出、調査、レスポンスに十分なモニタリングとロギングを構成する。

データの取り込みに関するセキュリティ管理

データ ウェアハウスを作成するには、別の Google Cloud ソース(データレイクなど)からデータを転送する必要があります。BigQuery のデータ ウェアハウスには、次のいずれかの方法でデータを転送できます。

  • Cloud Storage を使用するバッチジョブ。

  • Pub/Sub を使用するストリーミング ジョブ。取り込み中のデータを保護するために、ファイアウォール ルール、アクセス ポリシー、暗号化を使用できます。

ネットワークとファイアウォールのルール

Virtual Private Cloud(VPC)ファイアウォール ルールは、境界へのデータの流れを制御します。restricted.googleapis.com 特殊ドメイン名からの特定の TCP ポート 443 接続を除き、すべての下り(外向き)を拒否するファイアウォール ルールを作成します。restricted.googleapis.com ドメインには、次のような利点があります。

  • ワークロードが Google API およびサービスと通信する際に限定公開の Google アクセスを使用することで、ネットワーク攻撃の可能性を低減できます。
  • これにより、VPC Service Controls をサポートするサービスのみが使用されるようになります。

詳細については、限定公開の Google アクセスの構成をご覧ください。

Dataflow ジョブごとに個別のサブネットを構成する必要があります。匿名化されたデータは、匿名化されたデータから再識別されるデータと適切に分離されます。

データ パイプラインでは、dwh-networking モジュールリポジトリの dataflow_firewall.tf ファイルに定義されているとおりに、ファイアウォールで TCP ポートをオープンする必要があります。詳細については、インターネット アクセスとファイアウォール ルールの構成をご覧ください。

リソースの外部 IP アドレスを使用する機能を拒否するには、compute.vmExternalIpAccess 組織ポリシーですべてを拒否する設定にします。

境界制御

アーキテクチャ図に示すように、機密データ ウェアハウスのリソースを個別の境界に配置します。異なる境界のサービス間でデータを共有できるようにするには、境界ブリッジを作成します。境界ブリッジを使用すると、保護されたサービスが境界外のリソースをリクエストできます。これらのブリッジは、次の接続を行います。

  • データ取り込みプロジェクトをガバナンス プロジェクトに接続して、取り込み中に非匿名化できるようにします。

  • 機密ではないデータ プロジェクトと機密データ プロジェクトを接続し、データ アナリストからの要請に応じて機密データを再識別できるようにします。

  • 機密プロジェクトをデータ ガバナンス プロジェクトに接続して、データ アナリストからの要請に応じて再識別できるようにします。

境界ブリッジに加えて、下り(外向き)ルールを使用して、サービス境界で保護されているリソースが境界外のリソースにアクセスできるようにします。このソリューションでは、外部プロジェクトの Cloud Storage にある外部の Dataflow Flex テンプレート ジョブを取得するように下り(外向き)ルールを構成します。詳細については、境界外の Google Cloud リソースにアクセスするをご覧ください。

アクセス ポリシー

特定の ID(ユーザーまたはサービス)のみにリソースとデータへのアクセスを許可するには、IAM グループとロールを有効にします。

特定のソースのみがプロジェクトにアクセスできるように、Google 組織でアクセス ポリシーを有効にします。リクエストに対して許可される IP アドレス範囲を指定し、特定のユーザーまたはサービス アカウントからのリクエストのみを許可するアクセス ポリシーを作成することをおすすめします。詳細については、アクセスレベルの属性をご覧ください。

取り込みの際の鍵管理と暗号化

どちらの取り込みオプションでも、CMEK の管理には Cloud HSM が使用されます。CMEK 鍵は、取り込み中のデータの保護に役立ちます。Cloud DLP は、構成した検出器を使用して機密データを暗号化することでデータをさらに保護します。

データを取り込むには、次の暗号鍵を使用します。

  • Dataflow パイプラインと Pub/Sub サービスでも使用される取り込みプロセスの CMEK 鍵。取り込みプロセスは、抽出、変換、読み込み(ETL)プロセスとも呼ばれます。

  • Cloud DLP を使用したデータ匿名化プロセス用に、Cloud HSM によってラップされた暗号鍵。

  • 2 つの CMEK 鍵。機密でないデータ プロジェクトの BigQuery ウェアハウス用と、機密データ プロジェクトのウェアハウス用。詳細については、鍵管理をご覧ください。

CMEK のロケーションを指定します。ロケーションによって、鍵が保存される地理的な場所が特定され、アクセスできるようになります。CMEK がリソースと同じロケーションにあることを確認する必要があります。デフォルトでは、CMEK は 30 日ごとにローテーションされます。

組織のコンプライアンス義務により、独自の鍵を Google Cloud の外部で管理する必要がある場合は、Cloud External Key Manager を有効にできます。外部鍵を使用する場合は、鍵のローテーションなど、鍵の管理作業を行う必要があります。

サービス アカウントとアクセス制御

サービス アカウントは、Google Cloud がユーザーに代わって API リクエストを実行するために使用できる ID です。サービス アカウントにより、ユーザー ID がサービスに直接アクセスできないようにします。職務分離を許可するには、特定の目的のために異なるロールを持つサービス アカウントを作成します。これらのサービス アカウントは、data-ingestion モジュールconfidential-data モジュールで定義されています。サービス アカウントは次のとおりです。

  • 機密データを匿名化する Dataflow パイプラインの Dataflow コントローラ サービス アカウント。

  • 機密データを再識別する Dataflow パイプラインの Dataflow コントローラ サービス アカウント。

  • バッチファイルからデータを取り込む Cloud Storage サービス アカウント。

  • ストリーミング サービスからデータを取り込むための Pub/Sub サービス アカウント。

  • Dataflow パイプラインを作成する Dataflow のバッチジョブを実行する Cloud Scheduler サービス アカウント。

次の表に、各サービス アカウントに割り当てられているロールを示します。

サービス アカウント 名前 プロジェクト Roles

Dataflow コントローラ

このアカウントは匿名化に使用されます。

sa-dataflow-controller データの取り込み

Dataflow コントローラ

このアカウントは再識別に使用されます。

sa-dataflow-controller-reid 機密データ
Cloud Storage sa-storage-writer データの取り込み
  • roles/storage.objectViewer
  • roles/storage.objectCreator
これらのロールの説明については、Cloud Storage に適用される IAM ロールをご覧ください。
Pub/Sub sa-pubsub-writer データの取り込み
  • roles/pubsub.publisher
  • roles/pubsub.subscriber
これらのロールの説明については、Pub/Sub の IAM ロールをご覧ください。
Cloud Scheduler sa-scheduler-controller データの取り込み
  • roles/compute.viewer
  • roles/dataflow.developer

データの匿名化

取り込みフェーズ中に Cloud DLP を使用して構造化データと非構造化データを匿名化します。構造化データの場合は、フィールドに基づくレコード変換を使用してデータを匿名化します。このアプローチの例については、/examples/de_identification_template/ フォルダをご覧ください。この例では、構造化データにクレジット カード番号とカード PIN があるかどうかを確認します。非構造化データの場合は、情報タイプを使用してデータを匿名化します。

機密としてタグ付けされたデータを匿名化するには、Cloud DLP と Dataflow パイプラインを使用してデータをトークン化します。このパイプラインは、Cloud Storage からデータを取得して処理し、BigQuery データ ウェアハウスに送信します。

データ匿名化プロセスの詳細については、データ ガバナンスをご覧ください。

データ ストレージのセキュリティ管理

BigQuery ウェアハウスでデータを保護するため、次のセキュリティ管理を構成します。

  • 列レベルのアクセス制御

  • ロールが制限されたサービス アカウント

  • 組織のポリシー

  • 適切な 境界ブリッジを使用して、機密プロジェクトと機密でないプロジェクトの間で VPC Service Controls 境界を設定します。

  • 暗号化と鍵管理

列レベルのアクセス制御

機密データを保護するために、BigQuery ウェアハウスでは特定の列のアクセス制御を使用します。これらの列のデータにアクセスするには、データ アナリストにきめ細かい読み取りのロールが必要です。

BigQuery で列のアクセス権を定義するには、ポリシータグを作成します。たとえば、bigquery-confidential-data の例モジュールの taxonomy.tf ファイルでは、次のタグが作成されます。

  • クレジット カード番号などの機密性の高い情報を含む列の 3_Confidential ポリシータグ。このタグにアクセスできるユーザーは、2_Private または 1_Sensitive ポリシータグでタグ付けされた列にもアクセスできます。

  • 個人名(PII)などの個人を特定できる機密情報を含む列用の 2_Private ポリシータグ。このタグにアクセスできるユーザーは、1_Sensitive ポリシータグでタグ付けされた列にもアクセスできます。ユーザーは、3_Confidential ポリシータグでタグ付けされた列にアクセスできません。

  • 利用限度額など、公開できないデータを含む列の 1_Sensitive ポリシータグ。このタグにアクセスできるユーザーは、2_Private または 3_Confidential ポリシータグでタグ付けされた列にはアクセスできません。

タグ付けされていないものはすべて、データ ウェアハウスにアクセスできるすべてのユーザーが利用できます。

このアクセス制御により、データが再識別された後も、ユーザーにアクセス権が明示的に付与されるまでデータを読み取ることはできません。

ロールが制限されたサービス アカウント

承認されたユーザーのみが機密データを表示できるように、機密データ プロジェクトへのアクセスを制限する必要があります。そのためには、承認済みユーザーが成り代わる必要がある roles/iam.serviceAccountUser ロールを持つサービス アカウントを作成します。サービス アカウントの成り代わりは、サービス アカウント キーをダウンロードせずにサービス アカウントを使用するため、プロジェクトの全体的なセキュリティが向上します。成り代わりは、roles/iam.serviceAccountTokenCreator ロールを持つ承認済みユーザーがダウンロードできる短期間のトークンを作成します。

組織のポリシー

このブループリントには、セキュリティ基盤のブループリントで使用する組織のポリシーの制約が含まれ、制約が追加されています。セキュリティ基盤のブループリントが使用する制約の詳細については、セキュリティ基盤ガイドの「組織のポリシーの設定」をご覧ください。

次の表に、org_policies モジュールで定義された追加の組織ポリシー制約を示します。

ポリシー 制約名 推奨値
特定の物理的なロケーションにリソースのデプロイを制限します。その他の値については、値グループをご覧ください。 gcp.resourceLocations
次のいずれかです:
in:us-locations
in:eu-locations
in:asia-locations
サービス アカウント作成の無効化 iam.disableServiceAccountCreation true
プロジェクトで作成された VM に対して OS Login を有効にします。詳細については、組織での OS Login の管理OS Login をご覧ください。 compute.requireOsLogin true
IP アドレスに基づいて、新しい転送ルールを内部専用に制限します。 compute.restrictProtocolForwardingCreationForTypes INTERNAL
Compute Engine リソースで使用できる共有 VPC サブネットワークのセットを定義します。 compute.restrictSharedVpcSubnetworks projects/PROJECT_ID/regions/REGION/s ubnetworks/SUBNETWORK-NAME

SUBNETWORK-NAME をブループリントで使用するプライベート サブネットのリソース ID に置き換えます。
Cloud Logging へのシリアルポート出力のロギングを無効にします compute.disableSerialPortLogging true

鍵管理と暗号化によるストレージと再識別

機密データの場合は個別の CMEK 鍵を管理するため、データを再識別できます。Cloud HSM を使用して鍵を保護します。データを再識別するには、次の鍵を使用します。

  • Dataflow パイプラインが再識別プロセスに使用する CMEK 鍵。

  • Cloud DLP がデータの匿名化に使用する元の暗号鍵。

  • 機密データ プロジェクト内の BigQuery ウェアハウスの CMEK 鍵。

前述の取り込み用の鍵管理と暗号化で説明したように、CMEK のロケーションとローテーション期間を指定できます。組織で EKM が必要な場合は、Cloud EKM を使用できます。

運用管理機能

ロギングと Security Command Center プレミアム ティア機能(セキュリティ状況の分析や脅威検出など)を有効にできます。これらのコントロールにより、次のことを行えます。

  • データにアクセスするユーザーをモニタリングする。

  • 適切な監査を確実に実施する。

  • 発生する可能性のある問題への、インシデント管理チームと運用チームの対応能力をサポートする。

アクセスの透明性

アクセスの透明性は、Google のサポート担当者がお客様のデータにアクセスする必要がある場合は、リアルタイムで通知します。アクセスの透明性ログは、人間がコンテンツにアクセスするたびに生成され、ビジネス上の正当な理由(サポートケースなど)がある Google の担当者のみがアクセスを取得できます。アクセスの透明性を有効にすることをおすすめします。

ロギング

監査要件を満たし、プロジェクトに関する分析情報を得るために、追跡するサービスのデータログを使用して Google Cloud Operations スイートを構成します。centralized-logging モジュールは、次のベスト プラクティスを構成します。

  • すべてのプロジェクトにまたがる集約ログシンクの作成を行う。

  • 適切なリージョンにログを保存する。

  • CMEK 鍵をログシンクに追加する。

プロジェクト内のすべてのサービスについては、ログにはデータの読み取りと書き込みに関する情報と、管理者が読み取る内容に関する情報が含まれている必要があります。追加のロギングに関するベスト プラクティスについては、セキュリティ基盤ガイドの「ロギング」セクションをご覧ください。

アラートとモニタリング

ブループリントをデプロイしたら、セキュリティ インシデントが発生していることをセキュリティ オペレーション センター(SOC)に通知するアラートを設定できます。たとえば、アラートを使用して、IAM 権限が変更されたことをセキュリティ アナリストに通知できます。Security Command Center のアラートの構成の詳細については、検出通知の設定をご覧ください。Security Command Center によって公開されないその他のアラートについては、Cloud Monitoring でアラートを設定できます。

その他のセキュリティに関する考慮事項

このブループリントのセキュリティ管理は、Google サイバーセキュリティ対応チームとサードパーティのセキュリティ チームの両方によってレビューされています。NDA に基づいて STRIDE 脅威モデルとサマリー評価レポートの両方へのアクセス権をリクエストするには、secure-dw-blueprint-support@google.com にメールを送信してください。

このソリューションで説明したセキュリティ管理に加えて、このソリューションの使用と重複し相互に影響し合う主要領域でもセキュリティとリスクを確認して管理する必要があります。次に例を示します。

  • Dataflow ジョブを構成、デプロイ、実行するために使用するコード。

  • このソリューションで使用するデータ分類タクソノミー。

  • データ ウェアハウスに保存して分析するデータセットのコンテンツ、品質、セキュリティ。

  • ソリューションをデプロイする全体的な環境で、以下が含まれます。

    • このソリューションに接続するネットワークの設計、セグメンテーション、セキュリティ。
    • 組織の IAM 制御のセキュリティとガバナンス。
    • このソリューションの一部であるインフラストラクチャへのアクセス権を持ち、そのインフラストラクチャで保存と管理がされているデータにアクセスできるアクターに対する認証と認可の設定。

まとめ

このドキュメントで説明されたアーキテクチャを実装する方法は次のとおりです。

  1. セキュリティ基盤のブループリントでブループリントをデプロイするか、独自にデプロイするかを決定します。セキュリティ基盤のブループリントをデプロイしない場合は、同様のセキュリティ ベースラインを環境に設定するようにしてください。

  2. ブループリントの Readme を確認し、すべての前提条件を満たしていることを確認します。

  3. テスト環境でチュートリアルをデプロイして、ソリューションの動作を確認します。テストプロセスの一環として、次のことを考慮します。

    1. Security Command Center を使用して、コンプライアンス要件を基に新しく作成したプロジェクトをスキャンします。

    2. BigQuery ウェアハウスに独自のサンプルデータを追加します。

    3. 企業内のデータ アナリストと連携して、機密データへのアクセスと、BigQuery のデータを想定どおりに操作できるかどうかをテストします。

  4. ブループリントを本番環境にデプロイする。

次のステップ