BigQuery が Sensitive Data Protection と互換性のある暗号化関数と復号関数をサポート
Lanre Ogunmola
Cloud Security Architect
Parth Desai
Product Manager, Google
※この投稿は米国時間 2024 年 6 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。
組織は大量のデータを収集して、革新的なソリューションの作成、画期的な研究の実施、設計の最適化を行っています。これらの活動には、規制、コンプライアンス、契約、社内セキュリティ上の要件を満たすために、データを適切に保護する責任が伴います。
データ ウェアハウスをオンプレミスから BigQuery などのクラウド ファースト システムに移動したいと考えている組織にとって、機密データを不正アクセスや偶発的な公開から保護することは最重要事項です。暗号化ベースのトークン化は、追加の防御レイヤを作成し、データを詳細に制御するために重要なツールです。
ストレージ レベルの暗号化(Google 管理または顧客管理の鍵を使用可能)に加え、このたび BigQuery に Sensitive Data Protection がシームレスに統合され、BigQuery と Sensitive Data Protection の間で相互運用可能な確定的暗号化および復号を実行するネイティブ SQL 関数がサポートされるようになりました。
簡単に言えば、次のようなさまざまな状況で機密データを簡単に保護できるようになりました。
-
BigQuery で機密データを保護: 個人情報(PII)、医療記録、財務データなどを含むデータをクエリ時に安全に保護し、規制を遵守します。
-
機密データを安全に共有: 外部関係者(パートナーや顧客)とやり取りする際に、暗号化されたデータ(Sensitive Data Protection を使用して外部で暗号化)を共有し、復号鍵を個別に提供して BigQuery で関数を使って復号することで、機密情報を保護します。
-
必要なときにどこでも利用可能な互換性のあるトークン化: BigQuery 以外のワークロード用に Sensitive Data Protection API を使用してトークンを作成する場合でも、BigQuery 内でネイティブにトークンを作成する場合でも、必要なときにどこでも結合、集計し、参照整合性を維持できます。
パフォーマンスの向上: 関数などの高度な処理を行う場合は、BigQuery の分散型アーキテクチャを利用して、Sensitive Data Protection トークンベースの暗号化タスクと復号タスクを複数の BigQuery ノード間でネイティブに並列実行することで、処理を大幅に高速化できます。
BigQuery で Sensitive Data Protection 関数を使用する
使用手順は次のとおりです。
1. 機密データを特定する: Sensitive Data Protection の検出サービスを使用して、機密情報を含む BigQuery テーブルと列を特定します。
2. 暗号鍵を生成する: データ鍵を生成し、Cloud KMS を使用してデータ鍵を保護します。
3. 暗号化を適用する: DLP_DETERMINISTIC_ENCRYPT を使用して、特定したデータ フィールドを暗号化します。
4. 安全に保存、処理する: BigQuery 内で、暗号化されたデータの操作を続けます。確実に保護されているので、安心して作業できます。
暗号化されたテーブルからのクエリ
暗号化された列に対して集計を行う:
5. 必要に応じて復号する: 承認されたユーザーがクエリ時に必要な場合にのみ、DLP_DETERMINISTIC_DECRYPT を使用して元のデータにアクセスします。
復号されたレコードからのクエリ:
次のステップ
Sensitive Data Protection と BigQuery のデータ セキュリティ関数は、クラウド上の機密データを保護するためのパワフルなツールです。これらの仕組みと、その機能の最適な利用法を理解することで、データ セキュリティ ポスチャーの向上、データ侵害のリスクの軽減、機密情報の機密性の確保を実現しながら、プライバシーを保護できます。
詳細については、Sensitive Data Protection: DLP 互換の暗号化関数に関するドキュメントで手順をご確認ください。
