Cloud DLP の検査ジョブとジョブトリガーの作成

このトピックでは、新しいジョブまたはジョブトリガーを作成する方法について詳しく説明します。Cloud DLP UI を使用して新しいジョブトリガーを作成する方法の簡単なチュートリアルについては、Cloud DLP ジョブトリガーの作成のクイックスタートをご覧ください。

ジョブとジョブトリガーについて

ジョブは、機密データがないかコンテンツをスキャンするために Cloud Data Loss Prevention（DLP）が実行するアクションです。Cloud DLP は、ユーザーにデータの検査を指示されるたびに、ジョブリソースを作成して実行します。

ジョブトリガーを作成することで、Cloud DLP がジョブを実行するタイミングをスケジュールできます。ジョブトリガーは、Cloud Storage のバケット、BigQuery のテーブル、Cloud Datastore の種類など、Google Cloud Platform のストレージリポジトリをスキャンするための DLP ジョブの作成を自動化するイベントです。

Cloud DLP におけるジョブおよびジョブトリガーの概念については、ジョブとジョブトリガーをご覧ください。

新しいジョブまたはジョブトリガーを作成する

Cloud DLP の新しいジョブまたはジョブトリガーを作成するには:

Console

GCP Console で、Cloud DLP を開きます。

Cloud DLP UI ベータ版に移動
[作成] メニューで [ジョブまたはジョブトリガー] を選択します。

または、次のボタンをクリックします。

新しいジョブトリガーを作成

[ジョブまたはジョブトリガーを作成] ページには、次のセクションがあります。

入力データを選択
検出の設定
アクションの追加
スケジュール
確認

入力データを選択

[ジョブまたはジョブトリガーを作成] ページで、まずはジョブまたはジョブトリガーの名前を入力します。文字、数字、ハイフンを使用できます。
次に、[ストレージの種類] メニューで、スキャン対象データが保存されているリポジトリの種類（Cloud Storage、BigQuery、Cloud Datastore）を選択します。
- Cloud Storage の場合は、スキャンするバケットの URL を入力します。または、[ロケーションタイプ] メニューから [含める / 含めない] を選択した後、[BROWSE] をクリックしてスキャン対象のバケットまたはサブフォルダに移動します。指定したディレクトリとそこに含まれるすべてのディレクトリをスキャンするには、[フォルダを再帰的にスキャンする] チェックボックスをオンにします。下位ディレクトリを対象にせず、指定したディレクトリだけをスキャンする場合は、このチェックボックスはオフのままにします。
- BigQuery の場合は、スキャン対象のプロジェクト、データセット、テーブルの ID を入力します。
- Cloud Datastore の場合は、スキャン対象のプロジェクト、名前空間、種類の ID を入力します。
詳細設定の情報を入力するには、[詳細設定を表示] をクリックして次のセクションに進みます。詳細設定を利用できるのは、Cloud Storage のバケットと BigQuery のテーブルのスキャンの場合だけです。

データの場所と、詳細設定を指定し終えたら、[続行] をクリックしてジョブまたはジョブトリガーの詳細な調整を続けることも、[作成] をクリックしてすぐにジョブを作成することもできます。

詳細設定

Cloud Storage のバケットまたは BigQuery のテーブルをスキャンするジョブまたはジョブトリガーを作成する際に、詳細設定を指定して検索範囲を狭めることができます。具体的には、以下を設定できます。

ファイル（Cloud Storage のみ）: スキャンするファイルの種類。テキスト、バイナリ、画像ファイルを含めることができます。正規表現（regex）を指定して、1 つ以上のファイルパターンに一致するファイルを含めたり除外したりすることもできます。
識別フィールド（BigQuery のみ）: テーブル内で一意の行識別子。
サンプリング: サンプリングを使用して、行またはファイルの一部のみをスキャンするかどうか、およびその場合にスキャンする入力場所にあるファイルの割合。

ファイル

Cloud Storage に保存されているファイルの場合は、[ファイル] でスキャンに含めるファイルの種類を指定できます。

[ファイルの種類] メニューが開いた状態の DLP UI のスクリーンショット。

バイナリ、テキスト、画像ファイルから選択できます。Cloud DLP がスキャンできる Cloud Storage バケット内のファイルタイプのファイル拡張子の完全なリストは、API リファレンスページの FileType に記されています。[バイナリ] を選択した場合は、Cloud DLP で認識されないファイル形式としてスキャンされるので注意してください。

[含めるパス] では、1 つ以上の正規表現を指定して、指定したパターンに一致するバケット内のファイルのみをスキャンさせることができます。パスを指定しない場合、すべてのファイル形式がスキャンされます。

[除外するパス] では、1 つ以上の正規表現を指定して、指定したパターンに一致するバケット内のファイルをスキップさせることができます。パスを指定しない場合、すべてのファイル形式がスキャンされます。

含めるまたは除外するための正規表現を追加するには、[含める正規表現を追加] または [除外する正規表現を追加] をクリックし、フィールドに正規表現を入力します。フィールドは必要なだけ追加できます。追加したフィールドを削除するには、削除するフィールドの横にある「項目を削除します」（ゴミ箱アイコン）をクリックします。

識別フィールド

BigQuery のテーブルの場合、[識別フィールド] で、特定のフィールドに値が含まれている行のみをスキャンするよう指定できます。

DLP UI の [識別フィールド] セクションに 1 つの入力フィールドが表示されている状態のスクリーンショット。

フィールドを追加するには、[識別フィールドを追加] をクリックします。フィールド名を入力する際、必要に応じてドット表記を使用することで、ネストされたフィールドを指定できます。

フィールドは必要なだけ追加できます。追加したフィールドを削除するには、削除するフィールドの横にある「項目を削除します」（ゴミ箱アイコン）をクリックします。

サンプリング

[サンプリング] では、選択したすべてのデータをスキャンするか、特定の割合のデータだけをスキャンしてサンプリングを行うかを選択できます。サンプリングは、スキャンするストレージリポジトリの種類によって動作が異なります。

BigQuery の場合、スキャンに含めるように指定したファイルの割合に応じて、選択された合計行数のサブセットをサンプリングします。
Cloud Storage の場合、[1 ファイルあたりのスキャンの最大バイト数] で指定したサイズを超えるファイルについては、その最大サイズまでスキャンしてから次のファイルに進みます。

サンプリングをオンにするには、トップメニューから次のいずれかのオプションを選択します。

上からサンプリングを開始する: データの先頭から部分スキャンが開始されます。BigQuery の場合、最初の行からスキャンが開始されます。Cloud Storage の場合、各ファイルの先頭からスキャンが開始され、指定された最大ファイルサイズまでスキャンするとスキャンが停止します（上記参照）。
ランダムスタートからサンプリングを開始する: データ内のランダムな場所から部分スキャンが開始されます。BigQuery の場合、ランダムな行からスキャンが開始されます。Cloud Storage の場合、この設定は、指定された最大サイズを超えるファイルにのみ適用されます。最大ファイルサイズ未満のファイルは全体がスキャンされ、最大ファイルサイズを超えるファイルは最大サイズまでスキャンされます。

部分スキャンを実行するには、データのうち何パーセントをスキャンするかを指定する必要があります。スライダーを使って割合を設定します。

検出の設定

[検出の設定] セクションでは、スキャン対象の機密データの種類を指定します。

テンプレート

オプションとして、テンプレートを使用して以前に指定した構成情報を再利用できます。

テンプレートをすでに作成している場合は、[テンプレート名] フィールドをクリックして既存のテンプレートのリストを表示します。使用するテンプレートの名前を選択または入力します。

テンプレートの作成について詳しくは、Cloud DLP 検査テンプレートの作成をご覧ください。

infoType

infoType 検出器は、特定の種類の機密データを検出します。たとえば、Cloud DLP の US_SOCIAL_SECURITY_NUMBER infoType 検出器では、米国社会保障番号が検出されます。

DLP UI の [ジョブまたはジョブトリガーを作成] の [InfoType] セクションのスクリーンショット。

[InfoType] で、スキャンするデータ型に対応する infoType 検出器を選択します。このフィールドを空白のままにして、デフォルトのすべての infoTypes をスキャン対象にすることもできます。それぞれの検出器の詳細については、InfoType 検出器リファレンスをご覧ください。

信頼度のしきい値

Cloud DLP で機密データの一致候補が検出されるたびに、可能性の値が「かなり低い」から「かなり高い」までの尺度で割り当てられます。ここで可能性の値を設定すると、Cloud DLP ではその設定に従って、その可能性の値以上のデータの一致のみが検出されます。

DLP UI の [ジョブまたはジョブトリガーを作成] の [信頼度のしきい値] セクションのスクリーンショット。

[可能性あり] はデフォルト値で、ほとんどの用途に十分対応できます。検出される一致が常に、あまりに広範に及ぶ場合は、スライダーを右に動かしてください。一致が少なすぎる場合は、スライダーを左に動かしてください。

設定が完了したら、[続行] をクリックします。

アクションの追加

[アクションの追加] には、ジョブの完了後に実行させるアクションを 1 つ以上指定します。

DLP UI の [アクションの追加] セクションのスクリーンショット

次の設定を選択できます。

Pub/Sub に公開: このオプションを選択すると、ジョブが完了したときに通知メッセージが Cloud Pub/Sub に送信されます。通知を公開するトピック名を 1 つ以上指定するには、[新しいトピック] をクリックします。
BigQuery に保存: このオプションを選択すると、検索結果が BigQuery のテーブルに保存されます。BigQuery に保存されている検索結果には、各検索結果の場所と一致の可能性に関する詳細が含まれています。検索結果を保存しない場合、完了したジョブには検索結果の数と infoType に関する統計情報のみが含まれます。テーブル ID が指定されていない場合は、BigQuery によって新しいテーブルにデフォルトの名前が割り当てられます。既存のテーブルを指定した場合は、検索結果がそのテーブルに追加されます。各検索結果に状況のテキストを含めるには、[見積もりを含める] を選択します。
Google Cloud Security Command Center に公開: このオプションを選択すると、結果の概要が Cloud SCC に公開されます。詳しくは、Cloud DLP のスキャン結果を Cloud SCC に送信をご覧ください。
メールで通知: このオプションを選択すると、ジョブが完了したときにプロジェクトの所有者と編集者にメールが送信されます。

アクションを選択し終えたら、[続行] をクリックします。

スケジュール

[スケジュール] セクションでは、次の 2 つのことが行えます。

期間を指定: このオプションを選択すると、スキャンするファイルまたは行が日付で制限されます。[開始時刻] をクリックして、対象に含めるファイルの一番古いタイムスタンプを指定します。すべてのファイルを指定するには、この値を空白のままにします。[終了時刻] をクリックして、対象に含めるファイルの一番新しいタイムスタンプを指定します。タイムスタンプの上限を指定しない場合は、この値を空白のままにします。
周期スケジュールでジョブを実行するトリガーを作成: このオプションを選択すると、ジョブトリガーが作成され、周期スケジュールで指定したジョブを実行するように設定されます。デフォルト値は最小値の「24 時間」、最大値は「60 日」です。Cloud DLP に新しいファイルまたは行のみをスキャンさせるには、[スキャンを新しいコンテンツのみに制限する] を選択します。

DLP UI の [ジョブまたはジョブトリガーを作成] の [スケジュール] セクションのスクリーンショット

確認

[確認] セクションには、指定したジョブ設定の要約が JSON 形式で表示されます。

[作成] をクリックすると、ジョブトリガー（スケジュールを指定した場合）が作成されるか、ジョブ（スケジュールを指定しなかった場合）が作成されて実行されます。その後、ステータスなどの情報を含む、ジョブまたはジョブトリガーの情報ページが表示されます。現在実行中のジョブがあれば、[キャンセル] ボタンをクリックして停止できます。また、[削除] をクリックすると、ジョブやジョブトリガーを削除できます。

Cloud DLP のメインページに戻るには、GCP Console の戻る矢印をクリックします。

プロトコル

ジョブトリガーは、DLP API で JobTrigger リソースによって表現されます。JobTrigger リソースの projects.jobTriggers.create メソッドを使用すると、新しいジョブトリガーを作成できます。

このサンプル JSON は、POST リクエストによって、指定された Cloud DLP REST エンドポイントに送信できます。このサンプル JSON では、Cloud DLP でジョブトリガーを作成する方法を示します。このトリガーが開始するジョブは Cloud Datastore 検査スキャンです。作成されたジョブトリガーは、86,400 秒（24 時間）ごとに実行されます。

これらの操作を簡単に試行するのに、API Explorer を使用できます。リクエストが API Explorer で作成された場合でも、リクエストに異常がない場合は、スケジュールされたジョブトリガーが新規に作成されることに注意してください。JSON を使用して Cloud DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。

JSON 入力:

POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/jobTriggers?key={YOUR_API_KEY}

{
  "jobTrigger":{
    "displayName":"JobTrigger1",
    "description":"Starts a DLP scan job of a Datastore kind",
    "triggers":[
      {
        "schedule":{
          "recurrencePeriodDuration":"86400s"
        }
      }
    ],
    "status":"HEALTHY",
    "inspectJob":{
      "storageConfig":{
        "datastoreOptions":{
          "kind":{
            "name":"Example-Kind"
          },
          "partitionId":{
            "projectId":"[PROJECT_ID]",
            "namespaceId":"[NAMESPACE_ID]"
          }
        }
      },
      "inspectConfig":{
        "infoTypes":[
          {
            "name":"PHONE_NUMBER"
          }
        ],
        "excludeInfoTypes":false,
        "includeQuote":true,
        "minLikelihood":"LIKELY"
      },
      "actions":[
        {
          "saveFindings":{
            "outputConfig":{
              "table":{
                "projectId":"[PROJECT_ID]",
                "datasetId":"[BIGQUERY_DATASET_NAME]",
                "tableId":"[BIGQUERY_TABLE_NAME]"
              }
            }
          }
        }
      ]
    }
  }
}

JSON 出力:

次の出力は、ジョブトリガーが正常に作成されたことを示しています。

{
  "name":"projects/[PROJECT_ID]/jobTriggers/[JOB_TRIGGER_NAME]",
  "displayName":"JobTrigger1",
  "description":"Starts a DLP scan job of a Datastore kind",
  "inspectJob":{
    "storageConfig":{
      "datastoreOptions":{
        "partitionId":{
          "projectId":"[PROJECT_ID]",
          "namespaceId":"[NAMESPACE_ID]"
        },
        "kind":{
          "name":"Example-Kind"
        }
      }
    },
    "inspectConfig":{
      "infoTypes":[
        {
          "name":"PHONE_NUMBER"
        }
      ],
      "minLikelihood":"LIKELY",
      "limits":{

      },
      "includeQuote":true
    },
    "actions":[
      {
        "saveFindings":{
          "outputConfig":{
            "table":{
              "projectId":"[PROJECT_ID]",
              "datasetId":"[BIGQUERY_DATASET_NAME]",
              "tableId":"[BIGQUERY_TABLE_NAME]"
            }
          }
        }
      }
    ]
  },
  "triggers":[
    {
      "schedule":{
        "recurrencePeriodDuration":"86400s"
      }
    }
  ],
  "createTime":"2018-11-30T01:52:41.171857Z",
  "updateTime":"2018-11-30T01:52:41.171857Z",
  "status":"HEALTHY"
}

Cloud DLP の検査ジョブとジョブトリガーの作成

ジョブとジョブトリガーについて

新しいジョブまたはジョブトリガーを作成する

Console

入力データを選択

詳細設定

ファイル

識別フィールド

サンプリング

検出の設定

テンプレート

infoType

信頼度のしきい値

アクションの追加

スケジュール

確認

プロトコル

Java

Node.js

Python

Go

PHP

C#

すべてのジョブトリガーを一覧表示する

Console

プロトコル

Java

Node.js

Python

Go

PHP

C#

ジョブトリガーを削除する

Console

プロトコル

Java

Node.js

Python

Go

PHP

C#

既存のジョブトリガーを更新する

Console

プロトコル

Java

Node.js

Python

Go

PHP

C#

ジョブトリガーの使用

スキャンを新しいコンテンツのみに制限する

ファイルのアップロード時にジョブをトリガーする