Cloud DLP を使用した BigQuery データのスキャン

機密データの置かれている場所を把握しておくことは、適切なセキュリティを確保して管理を行うための第一歩です。機密データの場所を把握していれば、クレジット カード番号、医療情報、社会保障番号、運転免許証番号、住所、氏名、企業独自の秘密事項などの機密情報が漏洩するリスクを軽減できます。また、データを定期的にスキャンすると、コンプライアンス要件を遵守し、データの増加や用途の変化に合わせてベスト プラクティスを適用するのに役立ちます。コンプライアンス要件を満たすために、Cloud Data Loss Prevention(Cloud DLP)を使用して BigQuery テーブルをスキャンし、機密データを保護してください。

Cloud DLP は、Google Cloud Platform のお客様が大規模な機密データを識別して保護できるようにするためのフルマネージド サービスです。Cloud DLP は 100 種以上の定義済み検出項目を使って、パターン、フォーマット、チェックサムを識別します。また Cloud DLP は、マスキング、トークン化、仮名化、日付シフトなど、お客様のデータを複製することなくデータを匿名化できる一連のツールも備えています。

Cloud DLP の詳細については、Cloud DLP のドキュメントをご覧ください。

始める前に

  1. Cloud DLP の料金と、Cloud DLP コストを管理する方法を理解します。
  2. Cloud DLP API を有効にします

    API の有効化

  3. Cloud DLP ジョブを作成するユーザーに、Cloud DLP の事前定義された適切な Cloud IAM 役割、または Cloud DLP ジョブを実行するための十分な権限が付与されていることを確認します。

GCP Console を使用した BigQuery データのスキャン

BigQuery データをスキャンするには、テーブルを分析する Cloud DLP ジョブを作成します。GCP Console の BigQuery セクションで [DLP でスキャン] オプションを使用すると、BigQuery テーブルをすばやくスキャンできます。

Cloud DLP を使用して BigQuery テーブルをスキャンするには:

  1. GCP Console で BigQuery ウェブ UI を開きます。
    GCP Console に移動する

  2. [リソース] セクションで、プロジェクトとデータセットを展開し、スキャンする BigQuery テーブルを選択します。

  3. [エクスポート] > [DLP でスキャン(ベータ版)] をクリックします。Cloud DLP ジョブの作成ページが新しいタブで開きます。

  4. ステップ 1: 入力データを選択では、[名前] セクションと [場所] セクションの値が自動的に入力されます。また、[サンプリング] セクションは、データに対してサンプル スキャンを実行するように自動的に構成されています。サンプルの行数を調整するには、[行を制限する基準] フィールドで [行の割合] を選択します。[最大行数] フィールドの値を調整してサンプルの行数を変更することもできます。

  5. [続行] をクリックします。

  6. (省略可)ステップ 2: 検出の構成では、検索するデータのタイプ(infoTypes と呼ばれます)を構成できます。定義済みの infoTypes リストから選択できます。テンプレートが存在する場合はテンプレートを選択することもできます。infoTypes の詳細については、Cloud DLP ドキュメントの InfoType と infoType 検出器をご覧ください。

  7. [続行] をクリックします。

  8. (省略可)ステップ 3: アクションの追加では、[BigQuery に保存] を有効にして、Cloud DLP の検出結果を BigQuery テーブルに公開します。検出結果を保存しない場合、完了したジョブには検出結果の数とその infoTypes に関する統計情報のみが含まれます。検出結果を BigQuery に保存すると、各検出結果の正確な位置と信頼度に関する詳細情報が保存されます。

  9. (省略可)[BigQuery に保存] を有効にした場合は、[BigQuery に保存] セクションで次の情報を入力します。

    • [プロジェクト ID] には、結果を保存するプロジェクト ID を入力します。
    • [データセット ID] には、結果を保存するデータセットの名前を入力します。
    • (省略可)[テーブル ID] には、結果を保存するテーブルの名前を入力します。テーブル ID を指定しない場合は、新しいテーブルに「dlp_googleapis_date_1234567890」のようなデフォルトの名前が割り当てられます。既存のテーブルを指定した場合は、検出結果がそのテーブルに追加されます。
  10. [続行] をクリックします。

  11. (省略可)ステップ 4: スケジュールでは、[期間を指定] または [周期スケジュールでジョブを実行するトリガーを作成] を選択して、期間またはスケジュールを構成します。

  12. [続行] をクリックします。

  13. (省略可)[確認] ページで、ジョブの詳細を確認します。

  14. [作成] をクリックします。

  15. Cloud DLP ジョブが完了すると、[ジョブの詳細] ページにリダイレクトされ、メールで通知が送られます。スキャンの結果は [ジョブの詳細] ページで確認できます。ジョブ完了メールにある Cloud DLP のジョブの詳細ページへのリンクをクリックして確認することもできます。

  16. Cloud DLP の検出結果を BigQuery に公開することを選択した場合は、[ジョブの詳細] ページで [結果を BigQuery で表示] をクリックすると、BigQuery ウェブ UI にテーブルが開きます。このテーブルをクエリして、検出結果を分析できます。BigQuery での検出結果のクエリについて詳しくは、Cloud DLP ドキュメントの BigQuery で Cloud DLP の検出結果をクエリするをご覧ください。

次のステップ

Cloud DLP を使用して、BigQuery およびその他のストレージ リポジトリに含まれる機密データを検査する方法については、Cloud DLP ドキュメントの以下のトピックをご覧ください。

Cloud DLP のスキャンで検出された機密データを削除または匿名化する場合は、以下をご覧ください。

その他のリソース

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。