アクション

Cloud Data Loss Prevention(DLP)での「アクション」とは、DLP ジョブが正常に完了した後に発生する動作のことです。Cloud DLP では、以下の 2 種類のアクションをサポートしています。

  • DLP スキャンジョブの結果を BigQuery に保存する。DLP スキャン結果の保存先となるテーブルを指定できます。結果を表示したり分析したりする前に、ジョブが完了していることを確認します。
  • DLP スキャンジョブを Cloud Pub/Sub チャンネルに公開する。通知メッセージの送信先チャンネルを指定できます。ただし DLP スキャンジョブを実行する Cloud DLP サービス アカウントへの公開アクセス権が付与されている場合に限ります。通知メッセージには、DLP スキャンジョブの名前が属性として含まれます。

アクション シナリオの例

Cloud DLP アクションを使用すると、Cloud DLP のスキャン結果に基づいてプロセスを自動化できます。たとえば、外部パートナーと共有される BigQuery テーブルがあるとします。この場合、(1)このテーブルに社会保障番号(infoType US_SOCIAL_SECURITY_NUMBER)などの機密識別子が 1 つも含まれていないことを確認し、(2)1 つでも見つかった場合はこのパートナーのアクセス権を取り消す必要があります。これらのアクションを使用するワークフローの概要は、以下のとおりです。

  1. 24 時間ごとに BigQuery テーブルの検査スキャンを実行する Cloud DLP ジョブトリガーを作成します。
  2. 上記のジョブのアクションを設定し、Cloud Pub/Sub 通知をトピック「projects/foo/scan_notifications」に公開します。
  3. 「projects/foo/scan_notifications」で受信メッセージをリッスンする Cloud ファンクションを作成します。この Cloud ファンクションで、24 時間ごとに DLP ジョブの名前を受信し、そのジョブの結果の概要を取得するために Cloud DLP を呼び出します。そこで社会保障番号が見つかった場合、テーブルへのアクセスを制限するよう BigQuery または Cloud Identity and Access Management(IAM)の設定を変更できます。

リソース