Cloud Data Fusion での Cloud DLP の使用

このガイドでは、Cloud Data Fusion で Cloud Data Loss Prevention(DLP)を使用する方法を説明します。

Cloud Data Fusion には、Cloud DLP プラグインが用意されています。このプラグインでは 3 つの変換を使用して、機密データをフィルタリング、秘匿化、復号できます。

  • PII フィルタ変換を使用すると、データの入力ストリームから機密レコードをフィルタリングできます。

  • 秘匿化変換を使用すると、データのマスキングや暗号化などの機密データを変換できます。

  • Decrypt 変換を使用すると、Redact 変換を使用して暗号化されたデータを復号できます。

費用

このガイドでは、Google Cloud の課金対象となる以下のコンポーネントを使用します。

料金計算ツールを使うと、予想使用量に基づいて費用の見積もりを出すことができます。新しい Google Cloud ユーザーは無料トライアルをご利用いただける場合があります。

始める前に

  1. Cloud Console のプロジェクト セレクタページで、Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタのページに移動

  2. プロジェクトで Cloud Data Fusion API を有効にします。

    Cloud Data Fusion API を有効にする

  3. プロジェクトで Cloud DLP API を有効にします。

    Cloud DLP API を有効にする

  4. Cloud Data Fusion インスタンスを作成する

Cloud DLP 権限を取得する

  1. Cloud Console で IAM ページを開きます。

  2. 権限テーブルの [メンバー] 列で、形式 service-project-number@gcp-sa-datafusion.iam.gserviceaccount.com と一致するサービス アカウントを探します。

  3. サービス アカウントの右側にある鉛筆アイコンをクリックします。

  4. [別の役割を追加] をクリックします。

  5. 表示されるプルダウンをクリックします。

  6. 検索バーを使用して DLP 管理者を検索し選択します。

  7. [保存] をクリックします。DLP 管理者が [役割] 列に表示されていることを確認します。

Cloud DLP プラグインをデプロイする

  1. Cloud Console で [インスタンス] ページを開きます。

    [インスタンス] ページを開く

  2. [操作] 列で、[インスタンスの表示] リンクをクリックします。リンクをクリックすると、Cloud Data Fusion ウェブ UI が新しいブラウザタブで開きます。

  3. Cloud Data Fusion ウェブ UI で、右上にある [Hub] をクリックします。

  4. [Data Loss Prevention] プラグインをクリックします。

  5. [Deploy] をクリックします。

  6. [完了] をクリックします。

  7. [Create a pipeline] をクリックします。

PII フィルタ変換を使用する

この変換では、機密レコードが機密でないレコードから分離されます。レコードが Cloud DLP テンプレートで定義した条件と一致すると、そのレコードは機密と見なされます。たとえば、テンプレートを作成する際に、クレジット カード情報や社会保障番号を機密データとして定義できます。

  1. Cloud DLP 検査テンプレートを作成します。

  2. Cloud Data Fusion ウェブ UI の [Studio] ページで、[Transform] メニューをクリックして展開します。

  3. [PII Filter] 変換をクリックします。

  4. [PII Filter] ノードの上にポインタを重ねて、[Properties] をクリックします。

  5. [Filter on] で、レコードまたはフィールドをフィルタリングするかどうかを選択します。

    Cloud DLP 制限に従い、レコードが 0.5 MB を超えていると、Cloud Data Fusion パイプラインは失敗します。このようなエラーを回避するには、レコードではなくフィールドでフィルタリングします。

  6. [Template ID] に、作成した Cloud DLP テンプレートのテンプレート ID を入力します。

  7. [Error Handling] で、パイプラインで機密データが検出された場合の処理方法を定義します。次のいずれかのエラー処理オプションを選択します。

    • Stop pipeline: エラーが発生すると同時にパイプラインを停止します。
    • Skip record: エラーの原因となったレコードをスキップします。パイプラインは引き続き実行され、エラーは報告されません。
    • Send to error: エラーポートにエラーを送信します。パイプラインは引き続き実行されます。
  8. [X] ボタンをクリックします。

秘匿化変換を使用する

この変換では、入力ストリーム内の機密レコードを識別し、定義した変換をそれらのレコードに適用します。レコードが選択した事前定義されている Cloud DLP フィルタまたは自分で定義したカスタム テンプレートと一致すると、そのレコードは機密と見なされます。

  1. Cloud Data Fusion ウェブ UI の [Studio] ページで、[Transform] メニューをクリックして展開します。

  2. [Redact] 変換をクリックします。

  3. ポインタを Redact ノードの上に置き、[Properties] をクリックします。

  4. 変換を事前定義されているフィルタに適用するか、独自のフィルタを作成するかを選択します。

    この 2 つのオプションを同時に使用することはできません。事前定義されているフィルタを使用するか、カスタム テンプレートを作成するかのどちらかを選択します。

    事前定義されているフィルタ

    変換を事前定義されているフィルタに適用するには、[Custom Template] を [No] に設定したままにして、[Matching] でルールを定義します。

    1. [Apply] をクリックし、プルダウンをクリックして変換を選択します。 使用可能な変換について詳しくは、プラグインの [Documentation] タブにある [Description] セクションをご覧ください。

    2. [on] をクリックし、プルダウンをクリックしてカテゴリを選択します。カテゴリには、事前定義されている Cloud DLP フィルタがタイプ別にグループ化されています。用意されているカテゴリとそれぞれのカテゴリに含まれるフィルタの完全なリストについては、プラグインの [Documentation] タブにある [DLP Filter Mapping] セクションをご覧ください。

    複数のマッチング ルールを設定するには、[+] ボタンをクリックします。

    カスタム テンプレート

    カスタム テンプレートに従って変換を適用するには、[Custom Template] を [Yes] に設定します。

    1. カスタム Cloud DLP テンプレートを作成します。

    2. Cloud Data Fusion ウェブ UI に戻り、[Redact properties] メニューの [Template ID] に、作成したカスタム テンプレートのテンプレート ID を入力します。

  5. [X] ボタンをクリックします。

Decrypt 変換を使用する

この変換は、入力ストリームで Cloud DLP を使用して暗号化されたレコードを識別し、復号を適用します。復号できるのは、形式保持暗号化確定的暗号化などの可逆アルゴリズムを使用して暗号化されたレコードのみです。

  1. Cloud Data Fusion ウェブ UI の [Studio] ページで、[Transform] メニューをクリックして展開します。

  2. [Decrypt] 変換をクリックします。

  3. ポインタを Decrypt ノードの上に置き、[Properties] をクリックします。

  4. そのデータを暗号化した Redact プラグインの構成に使用したのと同じ値を入力します。このプラグインのプロパティは、Redact プラグインと同じです。

  5. [X] ボタンをクリックします。

次のステップ