操作

Cloud Data Loss Prevention(DLP)アクションは、DLP ジョブが正常に完了した後、またはメールの場合(エラーの場合)に発生します。たとえば、結果を BigQuery テーブルに保存することや、Pub/Sub トピックに通知を公開することや、ジョブが正常に終了するかエラーが発生して停止したときにメールを送信することができます。

選択できる操作

Cloud Data Loss Prevention(DLP)ジョブを実行すると、デフォルトでは、結果の概要が Cloud DLP に保存されます。この概要は、Google Cloud Console の Cloud DLP を使用して確認するか、projects.dlpJobs.getメソッドを使用して DLP API の概要情報を取得できます。

Cloud DLP は、実行するジョブの種類(検査またはリスク分析スキャンジョブ)に応じて、さまざまな種類のアクションをサポートします。現在サポートされているアクションは次のとおりです。

  • 検出結果を BigQuery に保存(検査とリスクジョブ): DLP ジョブの結果を BigQuery テーブルに保存します。結果の表示や分析を行う前に、ジョブが完了していることを確認します。
  • Pub/Sub に公開(検査とリスクのジョブ): DLP ジョブの名前を含む通知を Pub/Sub チャネルの属性として公開します。DLP スキャンジョブを実行する Cloud DLP サービス アカウントに対して公開アクセス権が付与されている場合は、通知メッセージの送信先にトピックを指定できます。
  • Publish Command Center に公開(リスクジョブ): ジョブの結果の概要を Security Command Center に公開します。詳細については、Cloud DLP スキャンの結果を Security Command Center に送信するをご覧ください。
  • Data Catalog に公開(リスクジョブ): Data Catalog(Google Cloud のメタデータ管理サービス)にジョブの結果を送信します。
  • Google Cloud のオペレーション スイートに公開(リスクジョブ): 検査結果を、Google Cloud のオペレーション スイートの Cloud Monitoring に送信します。
  • メールで通知(検査とリスクジョブ): ジョブの完了時に、プロジェクトのオーナーと編集者にメールを送信します。

アクションの指定

Cloud DLP を構成するときに、1 つ以上のアクションを指定できます。

  • Cloud Console で Cloud DLP を使用して新しい検査またはリスク分析ジョブを作成する場合は、ジョブ作成ワークフローの [アクションの追加] セクションでアクションを指定します。
  • DLP API に送信する新しいジョブ リクエストを設定する場合は、Action オブジェクトでアクションを指定します。

詳細と複数の言語のサンプルコードについては、以下をご覧ください。

アクション シナリオの例

Cloud DLP アクションを使用すると、Cloud DLP のスキャン結果に基づいてプロセスを自動化できます。たとえば、外部パートナーと共有される BigQuery テーブルがあるとします。この場合、テーブルに社会保障番号(infoType US_SOCIAL_SECURITY_NUMBER)などのプライベート ID が 1 つも含まれていないことを確認し、1 つでも見つかった場合はこのパートナーのアクセス権を取り消す必要があります。このアクションを使用するワークフローの概要は、以下のとおりです。

  1. 24 時間ごとに BigQuery テーブルの検査スキャンを実行する Cloud DLP ジョブトリガーを作成します。
  2. 上記のジョブのアクションを設定し、Pub/Sub 通知をトピック「projects/foo/scan_notifications」に公開します。
  3. 「projects/foo/scan_notifications」で受信メッセージをリッスンする Cloud Functions の関数を作成します。この Cloud Functions の関数は、24 時間ごとに DLP ジョブの名前を受け取り、Cloud DLP を呼び出してこのジョブから結果概要を取得します。社会保障番号が見つかった場合は、BigQuery または Identity and Access Management(IAM)の設定を変更してテーブルへのアクセスを制限できます。

次のステップ