Cloud DLP コストの管理

Cloud DLP には多くの強力な機能がありますが、Cloud DLP でスキャンする情報量によっては、コストが非常に高くなる可能性があります。このトピックでは、コストを抑えながら、必要な情報を Cloud DLP で的確にスキャンする方法について説明します。

サンプリングを使用して、検査するバイト数を制限する

BigQuery テーブルや Cloud Storage バケットをスキャンする場合、Cloud DLP ではデータセットの小規模なサブセットをスキャンできます。これにより、データセット全体をスキャンするというコストは発生せず、一方でスキャン結果のサンプリングを行えます。

機密データが含まれるサンプルを見つけたら、そのデータセットに対する 2 回目の包括的なスキャンのスケジュールを設定し、結果のリスト全体を見つけることができます。

詳細については、ストレージとデータベースに含まれる機密データの検査の「検査するコンテンツの量を制限する」セクションをご覧ください。

変更されたデータのみをスキャンする

前回の検査以降は変更されていないデータをスキャンしないように Cloud DLP に指示できます。StorageConfig 内から TimespanConfig を使用すると、データが最後に変更された日時に基づいて、スキャンするデータを設定できます。

ジョブトリガーを使用している場合、TimespanConfig にフラグ enable_auto_population_of_timespan_config を設定すると、最後にスケジュールされたジョブでスキャンされたコンテンツが自動的にスキップされます。

詳細については、「ジョブトリガー」コンセプト ページの「スキャンを新しいコンテンツのみに制限する」セクションをご覧ください。

Cloud Storage 内のファイルのスキャンを、関連するファイルのみに制限する

CloudStorageRegexFileSet メッセージを指定すると、正規表現フィルタを使用して、バケットに含めるか除外するファイルやフォルダを細かく設定できます。

これは、バックアップ、TMP ファイル、静的ウェブ コンテンツなど、機密データが含まれていないことがわかっているファイルのスキャンをスキップする場合に便利です。

料金計算ツールを使用する

  1. Google Cloud 料金計算ツールを開きます。
  2. 横並びのプロダクト リストをスクロールして、[データ損失防止(DLP)] をクリックします。
  3. Cloud Data Loss Prevention(DLP)スキャンタイプのいずれかを選択します(Storage スキャンか、コンテンツ メソッド / オンデマンド)。
  4. スキャンする必要があると見積もったバイト数を入力します。
  5. 使用する予定の infoType の数を入力します。

クエリで 10 ギガユニット(GU)未満を処理する場合、見積もりは $0 です。Cloud DLP では、1 か月あたり 10 GU までのオンデマンド クエリ処理が無料です。

ギガユニットと他の料金のコンセプトについては、Cloud Data Loss Prevention(DLP)の料金をご覧ください。

料金計算ツール

ダッシュボードを使用して費用を表示し、監査ログを照会する

Cloud DLP の使用量を調整できるように、課金データを表示するためのダッシュボードを作成します。また、使用パターンを分析できるように、Cloud DLP への監査ログのストリーミングも検討します。

BigQuery に課金データをエクスポートすると、Google データポータルなどのツールで可視化できます。課金ダッシュボードの作成方法のチュートリアルについては、BigQuery とデータポータルを使用した Google Cloud Billing の可視化をご覧ください。

また、監査ログを BigQuery にストリーミングして、ユーザー別のクエリ費用などの使用パターンに関するログを分析することもできます。

予算アラートを設定する

予算アラートを設定して、特定の金額に対して利用額がどの程度になっているかを追跡します。予算を設定しても、API の使用の上限は設定されません。利用額が指定された金額に近づいた場合にのみ通知されます。