機密データの保護のアクションは、オペレーションが正常に完了した後、またはメールの場合はエラーで発生するものです。たとえば、結果を BigQuery テーブルに保存することや、Pub/Sub トピックに通知を公開することや、オペレーションが正常に終了するかエラーが発生して停止したときにメールを送信することができます。
可能な操作
機密データの保護ジョブを実行すると、デフォルトでは、結果の概要が機密データの保護に保存されます。この概要は、Google Cloud コンソールの機密データの保護を使用して確認できます。ジョブの場合、projects.dlpJobs.get
メソッドを使用して DLP API の 概要情報を取得することもできます。
機密データの保護は、実行するオペレーションのタイプに応じて、さまざまなタイプのアクションをサポートします。サポートされているアクションは次のとおりです。
検出結果を BigQuery に保存する
機密データの保護のジョブ結果を BigQuery テーブルに保存します。結果の表示や分析を行う前に、ジョブが完了していることを確認します。
スキャンが実行されるたびに、機密データの保護は指定された BigQuery テーブルにスキャンの検出結果を保存します。エクスポートされた検出結果には、各検索結果の場所と一致の可能性に関する詳細が含まれています。各検出結果に infoType 検出器に一致する文字列を含めるには、[見積もりを含める] オプションを有効にします。
テーブル ID を指定しなければ、スキャンの最初の実行時に BigQuery によってデフォルトの名前が新しいテーブルに割り当てられます。既存のテーブルを指定した場合、機密データの保護により検出結果がテーブルに追加されます。
データが BigQuery テーブルに書き込まれると、課金と割り当て使用量は、宛先テーブルが含まれるプロジェクトに適用されます。
検出結果を BigQuery に保存しない場合、スキャン結果には検出結果の数と infoType に関する統計情報のみが含まれます。
Pub/Sub に公開
機密データの保護ジョブの名前を属性として含む通知を Pub/Sub チャンネルに公開します。通知メッセージの送信先とするトピックを 1 つ以上指定できます。スキャンジョブを実行する機密データの保護サービス アカウントに、トピックに対する公開アクセス権があることを確認します。
Pub/Sub トピックの構成または権限に問題がある場合、Sensitive Data Protection は Pub/Sub 通知の送信を最大 2 週間再試行します。2 週間が経過すると、通知は破棄されます。
Security Command Center に公開
ジョブの結果の概要を Security Command Center に公開します。詳細については、機密データの保護のスキャン結果を Security Command Center に送信するをご覧ください。
Dataplex に公開
ジョブの結果を Google Cloud のメタデータ管理サービスである Dataplex に送信します。
メールで通知
ジョブの完了時にメールを送信します。メールは IAM プロジェクト オーナーと技術的な重要な連絡先の技術担当者に送信されます。
Cloud Monitoring に公開
検査結果を Google Cloud のオペレーション スイートの Cloud Monitoring に送信します。
匿名化されたコピーを作成する
検査されたデータのすべての検出を匿名化し、匿名化されたコンテンツを新しいファイルに書き込みます。それにより、機密情報を含むデータの代わりに、ビジネス プロセスで匿名化されたコピーを使用できます。詳細については、Google Cloud コンソールで機密データの保護を使用して、Cloud Storage データの匿名化されたコピーを作成するをご覧ください。
サポートされているオペレーション
次の表に、機密データの保護のオペレーションと各アクションが実行可能な場所を示します。
操作 | BigQuery 検査 | Cloud Storage 検査 | Datastore 検査 | ハイブリッド検査 | リスク分析 | 検出(データ プロファイリング) |
---|---|---|---|---|---|---|
Chronicle にパブリッシュ | ✓ | |||||
検出結果を BigQuery に保存する | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Pub/Sub に公開 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Security Command Center に公開 | ✓ | ✓ | ✓ | ✓ | ||
Dataplex(Data Catalog)に公開 | ✓ | ✓ | ||||
メールで通知 | ✓ | ✓ | ✓ | ✓ | ✓ | |
Cloud Monitoring に公開 | ✓ | ✓ | ✓ | ✓ | ||
結果を匿名化する | ✓ |
アクションの指定
機密データの保護を構成するときに、1 つ以上のアクションを指定できます。
- Google Cloud コンソールで機密データの保護を使用して新しい検査またはリスク分析のジョブを作成する場合は、ジョブ作成ワークフローの [アクションの追加] セクションでアクションを指定します。
- DLP API に送信する新しいジョブ リクエストを設定する場合は、
Action
オブジェクトでアクションを指定します。
詳細と複数の言語のサンプルコードについては、以下をご覧ください。
アクション シナリオの例
機密データの保護のアクションを使用すると、機密データの保護のスキャン結果に基づいてプロセスを自動化できます。たとえば、外部パートナーと共有される BigQuery テーブルがあるとします。この場合、テーブルに社会保障番号(infoType US_SOCIAL_SECURITY_NUMBER
)などのプライベート ID が 1 つも含まれていないことを確認し、1 つでも見つかった場合はこのパートナーのアクセス権を取り消す必要があります。このアクションを使用するワークフローの概要は、以下のとおりです。
- 24 時間ごとに BigQuery テーブルの検査スキャンを実行する機密データの保護のジョブトリガーを作成します。
- 上記のジョブのアクションを設定し、Pub/Sub 通知をトピック「projects/foo/scan_notifications」に公開します。
- 「projects/foo/scan_notifications」で受信メッセージをリッスンする Cloud Functions の関数を作成します。この Cloud Functions の関数は、24 時間ごとに機密データの保護ジョブの名前を受け取り、機密データの保護を呼び出してこのジョブから結果概要を取得します。社会保障番号が見つかった場合は、BigQuery または Identity and Access Management(IAM)で設定を変更して、テーブルへのアクセスを制限します。
次のステップ
- 検査ジョブで使用できるアクションについて学習する。
- リスク分析ジョブで使用できるアクションについて学習する。