データ分析

Google Cloud のデータガバナンス - データへのアクセスとデータ検出を保護する新たな方法

2020年11月26日

Google Cloud Japan Team

※この投稿は米国時間 2020 年 11 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

BigQuery の列レベルのセキュリティが一般提供に

組織がますます機密性の高いデータ分析ワークロードをクラウドに導入するにつれ、最小権限の原則に基づいてアクセスできるきめ細かなセキュリティとガバナンス管理が BigQuery に委ねられるようになっています。本日より、BigQuery の列レベルのセキュリティが一般提供（GA）されます。今年初めにご案内した列レベルのセキュリティを使用すると、データを機密としてマークし、機密としてマークした列をクエリできるユーザーについて固有のアクセス制御（ポリシータグ）を設定できます。これにより、複数のテーブルに分散していることがある個人情報（PII）などのデータクラスを保護することができます。列レベルのセキュリティでは、組織のすべてのデータクラス（すべての機密性）のデータディクショナリを効率的に定義した後で、アクセスできるユーザーに応じて個々の列を分類できます。

BigQuery にアクセスできる Google Cloud Platform のすべてのリージョンで利用可能なのはもちろん、列レベルのポリシータグがインデックスに登録され、Data Catalog 内で検索できるようになりました。さらに、Data Catalog を BigQuery のメイン UI に統合することで、BigQuery リソースの見つけやすさが速度と管理の面で大幅に向上しました。こうした新しい機能の詳細について、以下に見ていきましょう。

ポリシータグの検索

データディクショナリはポリシータグの階層で構成されており、ポリシータグを使用してデータウェアハウス内のデータのタグ付け（記述）が可能です。列にタグ付けすると、その列に意味が付加されるだけでなく、その列にアクセスポリシーを適用することもできます。こうしたタグがインデックスに登録され、特定のポリシータグでタグ付けされたすべての列を検索できるようになりました。ファセット検索で policytag:[search expression] を述語として実行するだけです。そうすることで、検索式が任意のポリシータグ表示名の部分文字列として照合されます。この検索により、階層内のポリシータグの子孫を含む結果のリストが返されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Search_results_data_catalog_with_policy_tags.max-900x900.jpg

検索結果をドリルダウンすると、列とポリシータグの詳細が表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Data_catalog__columns_policy_tags_detail.max-1300x1300.jpg

BigQuery による効率的な ACL 検索

先に述べたように、Data Catalog は BigQuery のメイン UI に統合されました。つまり、BigQuery UI 内で作業しながら、コンテキスト内で Data Catalog の強力な検索機能にアクセスできるようになりました。検索 / オートコンプリートプレビューを有効にして、リソースパネルへの Data Catalog 検索を許可します。テーブル名の一部を指定すると、検索を明示的に実行して結果を待たなくても、Data Catalog によって一致するリストが表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Data_catalog_list_of_matches.max-300x300.jpg

Data Catalog 検索はユーザーに割り当てられたリソース権限を使用して処理され、格納されているデータセットがユーザーと共有されていない場合でも、そのユーザーと明示的に共有されているテーブルを表示できます。この新しい方法で検索結果をインタラクティブに表示すると、データアナリストの作業が合理化されるだけでなく、プロジェクトやデータセット内のすべてのテーブルを一覧表示、選択する場合に比べて、コンピューティング処理が少なくて済みます。

機密データへの Logging アクセス

データガバナンスポリシータグを含むあらゆる BigQuery リクエストは、スケーラブルなロギングソリューションである Cloud Logging にもキャプチャされるため、機密データにも及ぶすべてのアクセス試行を簡単に確認できます。Logging 検索バーに policytag を入力し、検索キーワードとして特定のポリシータグ ID（Data Catalog からコピー可能）を選択して検索を絞り込むだけです。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Policy_tags_query_preview_cloud_logging.max-1000x1000.jpg

次のステップ

データ分析のワークロードは、一般に複数のデータを指定することになり、一部のデータには追加のアクセス制御が必要になる場合があります。BigQuery はサポートされているすべてのリージョンで追加の保護をデータに適用できるようになりました。また、データのアクセスベースの検出、不要なクエリ実行時間の削減、機密データへの全ユーザーアクセスのロギングなど、エンドツーエンドのソリューションを提供します。詳細については、BigQuery の列レベルのセキュリティの概要、BigQuery の列レベルのセキュリティに関するベストプラクティス、BigQuery のテーブルレベルのアクセス制御の概要、Google Cloud でのデータガバナンスへのアプローチをご覧ください。

-Google Cloud データガバナンス担当プロダクトマネージャー Uri Gilad

投稿先