Google Cloud Platform

Cloud Storage バケットでの機密データの有無を自動的にスキャンする方法

クラウドのセキュリティは、多くの場合、シンプルなベスト プラクティスを見つけ出し、それに従うことにかかっています。以前このブログで、Cloud Storage バケットのセキュリティを強化する手順について説明しました。その際、アクセス権限を適切に設定する方法や、Cloud Data Loss Prevention(DLP)API のようなツールを使って機密データ用のバケットをモニタリングするときのヒントを紹介しました。

今回は、DLP API と Cloud Functions を使ってデータ分類を自動化する方法を紹介します。Cloud Functions は、Google Cloud Platform のイベント駆動型サーバーレス プラットフォームで、コードを使ってクラウド サービスを関連づけ、拡張を容易にします。

例として、社外のパートナーと定期的にデータを共有する状況を想定してみましょう。このデータには当初、個人の特定につながるような情報(PII : Personal Identifiable Information)は含まれていないとします。

そこで、単純に共有ストレージ バケットを作成してデータをアップロードし、パートナーにアクセス権を付与します。ただ、もし誰かが間違ったファイルをバケットにアップロードしたり、PII をアップロードしてはいけないことを知らなかったりする場合はどうすればよいでしょうか。

DLP API と Cloud Functions を使用すれば、機密データが共有ストレージ バケットにアップロードされる前に、自動的にデータをスキャンすることが可能です。

セットアップは簡単で、3 つのバケットを作成するだけです。1 つはデータをアップロードするバケット、もう 1 つは共有用のバケット、そして最後の 1 つはフラグが設定された制限用のバケットです。そして以下の手順に従います。

  1. アクセス権限を適切に設定し、ユーザーがアップロード用のバケットにデータを格納できるようにします。
  2. アップロードがトリガーとなるように Cloud Functions で記述し、バケット内のデータを DLP API でスキャンするようにします。
  3. DLP API の結果を基に、データを自動的に共有バケットに移行させるか、制限バケットに入れてさらに調査するかを自動的に行えるようにします。

Cloud Functions のスクリプトを含め、詳しい使い方がわかるチュートリアルを用意しました。Cloud Console または Cloud Shell を介して数分で起動し、実行できます。スクリプトは自社の環境に合わせて容易に変更できるほか、通知メールを送信したり、編集済みのコピーを作成したり、承認ワークフローを起動させたりといったように、高度なアクションを追加することも可能です。

機密データの悪用を防ぐにあたっては、先を見越した対策が重要であると私たちは考えています。詳細は DLP APICloud Functions のドキュメントをご覧ください。

* この投稿は米国時間 4 月 11 日、GCP Product Management の Scott Ellis と、Cloud Solutions Architect の Grace Mollison によって投稿されたもの(投稿はこちら)の抄訳です。

- By Scott Ellis, GCP Product Management and Grace Mollison, Cloud Solutions Architect