このトピックでは、新しい検査テンプレートの作成方法を詳しく説明します。Cloud Data Loss Prevention UI を使用して新しい検査テンプレートを作成する方法のチュートリアルについては、クイックスタート: Cloud DLP 検査テンプレートの作成をご覧ください。
テンプレートについて
テンプレートを使用して、Cloud DLP で使用する構成情報を作成し、維持できます。テンプレートは、検査の目的や匿名化の方法などの構成情報をリクエストの実装から分離するのに役立ちます。テンプレートを使用することで構成を再利用でき、ユーザー間、データセット間での一貫性が保たれます。また、テンプレートを更新するたびに、そのテンプレートを使用するすべてのジョブトリガーが更新されます。
Cloud DLP でサポートされるテンプレートには、検査テンプレート(このトピックで説明)と匿名化テンプレート(Cloud DLP 匿名化テンプレートの作成で説明)の 2 種類があります。
Cloud DLP におけるテンプレートのコンセプトについては、テンプレートをご覧ください。
新しい検査テンプレートの作成
Console
Google Cloud コンソールで、[テンプレートの作成] ページに移動します。
[テンプレートの作成 ページには次のセクションがあります。
テンプレートの定義
[テンプレートの定義] で、検査テンプレートの識別子を入力します。この ID を使って、ジョブの実行時やジョブトリガーの作成時などにテンプレートを参照します。文字、数字、ハイフンを使用できます。必要に応じて、よりわかりやすい表示名と説明を入力して、テンプレートの内容を覚えやすくすることもできます。
[リソースのロケーション] フィールドで、検査するデータが保存されているリージョンを選択します。作成した検査テンプレートもこのリージョンに保存されます。新しいリージョンで任意の検査テンプレートを使用できる場合は、[グローバル(任意のリージョン)] を選択します。
検出を構成する
次に、infoType などのオプションを選択して、Cloud DLP がコンテンツで検出する対象を構成します。
infoType 検出器は、特定の型の機密データを検出します。たとえば、Cloud DLP の US_SOCIAL_SECURITY_NUMBER infoType 検出器では、米国社会保障番号が検出されます。組み込みの infoType 検出器に加えて、独自のカスタム infoType 検出器を作成できます。
[InfoType] セクションで、スキャンするデータ型に対応する infoType 検出器を選択します。このセクションを空白のままにすることはおすすめしません。この操作を行うと、Cloud DLP がデフォルトの infoType セットを使用してデータをスキャンします。これには不要な infoType が含まれる場合があります。それぞれの検出器の詳細については、InfoType 検出器リファレンスをご覧ください。
このセクションで組み込みとカスタム infoType を管理する方法については、Google Cloud コンソールを使用して infoType を管理するをご覧ください。
検査ルールセット
Inspection rulesets allow you to customize both built-in and custom infoType detectors using context rules. The two types of inspection rules are:
- Exclusion rules, which help exclude false or unwanted findings.
- Hotword rules, which help detect additional findings.
To add a new ruleset, first specify one or more built-in or custom infoType detectors in the InfoTypes section. These are the infoType detectors that your rulesets will be modifying. Then, do the following:
- Click in the Choose infoTypes field. The infoType or infoTypes you specified previously appear below the field in a menu, as shown here:
- Choose an infoType from the menu, and then click Add rule. A menu appears with the two options Hotword rule and Exclusion rule.
For hotword rules, choose Hotword rules. Then, do the following:
- In the Hotword field, enter a regular expression that Cloud DLP should look for.
- From the Hotword proximity menu, choose whether the hotword you entered is found before or after the chosen infoType.
- In Hotword distance from infoType, enter the approximate number of characters between the hotword and the chosen infoType.
- In Confidence level adjustment, choose whether to assign matches a fixed likelihood level, or to increase or decrease the default likelihood level by a certain amount.
For exclusion rules, choose Exclusion rules. Then, do the following:
- In the Exclude field, enter a regular expression (regex) that Cloud DLP should look for.
- From the Matching type menu, choose one of the following:
- Full match: The finding must completely match the regex.
- Partial match: A substring of the finding can match the regex.
- Inverse match: The finding doesn't match the regex.
You can add additional hotword or exclusion rules and rulesets to further refine your scan results.
信頼度のしきい値
Cloud DLP で機密データの一致候補が検出されるたびに、可能性の値が「かなり低い」から「かなり高い」までの尺度で割り当てられます。ここで可能性の値を設定すると、Cloud DLP ではその設定に従って、その可能性の値以上のデータの一致のみが検出されます。
「可能性あり」はデフォルト値で、ほとんどの用途に十分対応できます。検出される一致が常に、あまりに広範に及ぶ場合は、スライダーを右に動かしてください。一致が少なすぎる場合は、スライダーを左に動かしてください。
設定が完了したら、[作成] をクリックしてテンプレートを作成します。テンプレートの要約情報のページが表示されます。
Cloud DLP のメインページに戻るには、Google Cloud コンソールの戻る矢印をクリックします。
プロトコル
検査テンプレートは、再利用可能な検査構成といくつかのメタデータで構成されます。API の観点では、InspectTemplate オブジェクトは事実上、InspectConfig オブジェクトにいくつかのメタデータ(表示名や説明など)のフィールドを追加したものです。したがって、新しい検査テンプレートを作成するための基本的な手順は次のとおりです。
- 最初に
InspectConfigオブジェクトを作成します。 projects.inspectTemplatesまたはorganizations.inspectTemplatesリソースのcreateメソッドを呼び出すか POST し、そのリクエストに表示名、説明、作成したInspectConfigオブジェクトを入れたInspectTemplateオブジェクトを含めます。
返された InspectTemplate はすぐに使用できます。その name を使用して、他の呼び出しやジョブでこのテンプレートを参照できます。既存のテンプレートを一覧表示するには、*.inspectTemplates.list メソッドを呼び出します。特定のテンプレートを表示するには、*.inspectTemplates.get メソッドを呼び出します。作成できるテンプレート数の上限は 1,000 個です。
過去に Cloud DLP を使用して機密コンテンツのテキスト、画像、構造化コンテンツを検査したことがある場合、InspectConfig オブジェクトはすでに作成されています。もう 1 つの手順を行うだけで、これを InspectTemplate オブジェクトに変換できます。
次の JSON は、projects.inspectTemplates.create メソッドに送信できるものの例です。この JSON は、指定された表示名と説明を含む新しいテンプレートを作成し、infoType PHONE_NUMBER と US_TOLLFREE_PHONE_NUMBER に対する一致をスキャンします。スキャン結果には、可能性が POSSIBLE 以上である一致が最大 100 個と、それぞれのコンテキストのスニペットが含まれます。
JSON 入力:
POST https://dlp.googleapis.com/v2/projects/[PROJECT_ID]/inspectTemplates?key={YOUR_API_KEY}
{
"inspectTemplate":{
"displayName":"Phone number inspection",
"description":"Scans for phone numbers",
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
},
{
"name":"US_TOLLFREE_PHONE_NUMBER"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
"maxFindingsPerRequest":100
},
"includeQuote":true
}
}
}
JSON 出力:
レスポンスの JSON は次のようになります。
{
"name":"projects/[PROJECT_ID]/inspectTemplates/[JOB_ID]",
"displayName":"Phone number inspection",
"description":"Scans for phone numbers",
"createTime":"2018-11-30T07:26:28.164136Z",
"updateTime":"2018-11-30T07:26:28.164136Z",
"inspectConfig":{
"infoTypes":[
{
"name":"PHONE_NUMBER"
},
{
"name":"US_TOLLFREE_PHONE_NUMBER"
}
],
"minLikelihood":"POSSIBLE",
"limits":{
"maxFindingsPerRequest":100
},
"includeQuote":true
}
}
以下に埋め込まれている API Explorer を使用すれば、これをすぐに試すことができます。JSON を使用して DLP API にリクエストを送信する方法については、JSON クイックスタートをご覧ください。
Java
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
C#
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
検査テンプレートの使用
新しい検査テンプレートを作成したら、それを新しい検査ジョブまたはジョブトリガーの作成時に使用できます。そのテンプレートを更新するたびに、そのテンプレートを使用するすべてのジョブトリガーで更新されます。コードサンプルなどの詳細については、以下をご覧ください。
Console
新しいテンプレートの使用を開始するには、Cloud DLP 検査テンプレートの作成のクイックスタートに記載されている手順に従います。
- [検出の構成] の [テンプレート] セクションで、[テンプレート名] フィールドをクリックし、作成したテンプレートを選択します。
コンテンツのスキャン方法の詳細については、Cloud DLP 検査ジョブの作成とスケジュール設定の「検出の構成」セクションをご覧ください。
プロトコル
次のような inspectTemplateName が使用可能であればどこでも、テンプレートの作成時に指定したテンプレート ID を使用できます。
projects.content.inspect: テンプレートを構成として使用して、コンテンツ内の潜在的な機密データを匿名化します。projects.content.deidentify: テンプレートを構成として使用して、コンテンツ内の機密データを検出して匿名化します。このメソッドでは、検査テンプレートと匿名化テンプレートの両方を使用することに注意してください。InspectJobConfigオブジェクト内のprojects.dlpJobs.create: 構成としてテンプレートを含む検査ジョブを作成します。
検査テンプレートの一覧表示
現在のプロジェクトまたは組織で作成されたすべての検査テンプレートを一覧表示する手順は次のとおりです。
Console
Google Cloud コンソールで Cloud DLP を開きます。
[テンプレート] タブをクリックします。
現在のプロジェクトにあるすべての検査テンプレートが一覧表示されます。
プロトコル
*.*.list メソッドのいずれかを使用します。
Java
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
C#
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
検査テンプレートを global リージョンにコピーする
構成リストに移動します。
必要に応じて、使用する検査テンプレートを含むプロジェクトに切り替えます。
[テンプレート] タブをクリックし、[検査] サブタブをクリックします。
使用するテンプレートを探します。
[ アクション] をクリックしてから、[コピー] をクリックします。
[テンプレートの作成] ページの [リソース ロケーション] リストで、[グローバル(任意のリージョン)] を選択します。
[作成] をクリックします。
テンプレートが global リージョンにコピーされます。
検査テンプレートを別のプロジェクトにコピーする
構成リストに移動します。
必要に応じて、使用する検査テンプレートを含むプロジェクトに切り替えます。
[テンプレート] タブをクリックし、[検査] サブタブをクリックします。
使用するテンプレートを探します。
[ アクション] をクリックしてから、[コピー] をクリックします。
ツールバーで プロジェクト セレクタをクリックし、検査テンプレートのコピー先となるプロジェクトを選択します。
選択したプロジェクトで [テンプレートの作成] ページが再読み込みされます。
[作成] をクリックします。
選択したプロジェクトでテンプレートが作成されます。
検査テンプレートの削除
検査テンプレートを削除する手順は次のとおりです。
Console
Google Cloud コンソールで Cloud DLP を開きます。
[構成] タブ、[テンプレート] タブの順にクリックします。現在のプロジェクトにあるすべてのテンプレートが一覧表示されます。
削除するテンプレートの [操作] 列で、[その他の操作] メニュー(縦に並んだ 3 つの点)
をクリックし、[削除] をクリックします。
または、テンプレートの一覧から削除対象のテンプレートの名前をクリックし、テンプレートの詳細ページで [削除] をクリックします。
プロトコル
*.*.delete メソッドのいずれかを使用します。
各 *.*.delete メソッドには、削除するテンプレートのリソース名を含めます。
Java
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Node.js
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
Go
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
PHP
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。
C#
Cloud DLP 用のクライアント ライブラリをインストールして使用する方法については、Cloud DLP クライアント ライブラリをご覧ください。
Cloud DLP に対する認証を行うには、アプリケーションのデフォルト認証情報を設定します。詳細については、ローカル開発環境の認証の設定をご覧ください。