Cloud DLP ジョブトリガーの作成のクイックスタート

ジョブトリガーは、GCP ストレージ リポジトリ(Cloud Storage、BigQuery、Cloud Datastore)をスキャンする Cloud Data Loss Prevention(DLP)ジョブの実行を自動化するイベントです。

このクイックスタートでは、Google Cloud Platform Console で Cloud DLP を使用して新しいジョブトリガーを作成する手順を紹介します。

始める前に

GCP Console で Cloud DLP UI ベータ版を利用できるようになりました。Cloud DLP UI ベータ版を使用して作成するジョブ、ジョブトリガー、テンプレートはすべて実際に使用できるため、それらを実行すると使用料が発生します(該当する場合)。料金について詳しくは、Cloud DLP の料金をご覧ください。

このクイックスタートでは、スキャン対象のストレージ リポジトリがすでに決まっていることを前提としています。決まっていない場合は、利用可能な BigQuery 一般公開データセットのいずれかをスキャンすることを検討してください。

  1. Google アカウントにログインします。

    Google アカウントをまだお持ちでない場合は、新しいアカウントを登録します。

  2. GCP プロジェクトを選択または作成します。

    [リソースの管理] ページに移動

  3. プロジェクトに対して課金が有効になっていることを確認します。

    課金を有効にする方法について

  4. Cloud DLP API を有効にします。

    APIを有効にする

Cloud DLP を開く

GCP Console で Cloud DLP にアクセスするには:

Cloud DLP に移動

または、次の手順を行います。

  1. GCP Console で、ナビゲーション メニューが表示されていなければ、ページの左上隅のナビゲーション ボタンをクリックします。
  2. [セキュリティ] にカーソルを合わせ、[データ損失防止] をクリックします。

Cloud DLP のメインページが開きます。

新しいジョブトリガーの作成と入力データの選択

Cloud DLP でジョブトリガーを作成するには:

  1. GCP Console で、Cloud DLP を開きます。

    Cloud DLP に移動

  2. [作成] メニューで [ジョブまたはジョブトリガー] を選択します。

    DLP UI の [作成] メニューで [ジョブまたはジョブトリガー] が選択された状態のスクリーンショット

    または、次のボタンをクリックします。

    新しいジョブトリガーを作成

  3. [ジョブまたはジョブトリガーを作成] ページで、まずジョブの名前を入力します。文字、数字、ハイフンを使用できます。

  4. 次に、[ストレージの種類] メニューで、スキャン対象データが保存されているリポジトリの種類(Cloud Storage、BigQuery、Cloud Datastore)を選択します。

    • Cloud Storage の場合は、スキャンするバケットの URL を入力します。または、[ロケーション タイプ] メニューから [含める / 含めない] を選択した後、[BROWSE] をクリックしてスキャン対象のバケットまたはサブフォルダに移動します。指定したディレクトリとそこに含まれるすべてのディレクトリをスキャンするには、[フォルダを再帰的にスキャンする] チェックボックスをオンにします。下位ディレクトリを対象にせず、指定したディレクトリだけをスキャンする場合は、このチェックボックスはオフのままにします。
    • BigQuery の場合は、スキャン対象のプロジェクト、データセット、テーブルの ID を入力します。
    • Cloud Datastore の場合は、スキャン対象のプロジェクト、名前空間、種類の ID を入力します。
  5. 高度な構成の詳細を入力するには、[詳細設定を表示] をクリックします。高度な構成を利用できるのは、Cloud Storage バケットと BigQuery テーブルのスキャンの場合だけです。

データの場所と高度な構成の詳細を指定したら、[続行] をクリックします。

検出パラメータの構成

[検出の設定] セクションでは、スキャン対象の機密データの種類を指定します。

DLP UI の [ジョブまたはジョブトリガーを作成] の [検出の設定] セクションのスクリーンショット

このクイックスタートでは、上記のセクションはデフォルト値のままにします。こうすると Cloud DLP では、すべての基本の組み込み情報タイプ(infoTypes)に対して指定したデータ リポジトリがスキャンされます。

このセクションの設定の詳細については、「Cloud DLP のジョブとジョブトリガーの作成」の検出の設定をご覧ください。

ジョブトリガーの詳細については、ジョブトリガーの概念のトピックをご覧ください。

スキャン後のアクションの追加

[アクションの追加] セクションでは、検査スキャンの完了後にその結果に対して Cloud DLP で実施するアクションを指定します。このステップでは、検査結果を新しい BigQuery テーブルに保存することを選択します。

DLP UI の [ジョブまたはジョブトリガーを作成] の [アクションの追加] セクションのスクリーンショット

各オプションの詳しい説明については、「Cloud DLP のジョブとジョブトリガーの作成」のアクションの追加をご覧ください。

BigQuery の切り替えボタンをクリックします。次のスクリーンショットに示すように、[プロジェクト ID] フィールドにプロジェクト ID を入力します。[データセット ID] フィールドには、データセットに付けた名前を入力します。[テーブル ID] フィールドは空白のままにして、Cloud DLP によって新しいテーブルが作成されるようにします。設定が完了したら、[続行] をクリックします。

DLP UI の [ジョブまたはジョブトリガーを作成] の [アクションの追加] セクションで BigQuery が選択された状態のスクリーンショット

アクションの詳細については、アクションの概念のトピックをご覧ください。

スケジュールの設定

[スケジュール] セクションでは、ジョブトリガーを開始して、指定したジョブを実行する頻度を Cloud DLP に指示します。

DLP UI の [ジョブまたはジョブトリガーを作成] の [スケジュール] セクションのスクリーンショット

メニューから [周期スケジュールでジョブを実行するトリガーを作成] を選択します。ジョブの実行頻度のデフォルト値は 24 時間です。この値は 1~60 日までの任意の値に変更できます。期間は時間、日付、週で指定します。

[スキャンを新しいコンテンツのみに制限する] チェックボックスをオンにすると、前回のスキャン後に新たに追加されたコンテンツだけがスキャンされます。つまり、スキャン対象になるのは、このジョブトリガーによって生成されたジョブがスキャンしたストレージ リポジトリに新たに追加されたコンテンツだけです。

[続行] をクリックします。

ジョブトリガーの確認

[確認] セクションには、指定したジョブ設定の JSON 形式の要約が含まれています。

[作成] をクリックしてジョブトリガーを作成します。

ジョブトリガーの実行と結果の表示

ジョブトリガーを作成すると、[トリガーの詳細] ページが表示されます。

DLP UI のジョブトリガーの詳細ページのスクリーンショット

すぐにジョブをトリガーするには、画面上部の [今すぐ実行] をクリックします。

このジョブトリガーによってトリガーされたジョブは、詳細ページの [トリガーされたジョブ] セクションに一覧表示されます。ジョブを選択するには、[名前] 列でその名前をクリックします。

[ジョブの詳細] ページには、最初にジョブの結果が一覧表示され、その後にスキャンされた内容に関する情報が続きます。

BigQuery に結果を保存することを選択している場合は、BigQuery を開き、指定したデータセットに移動します。Cloud DLP によって、そのデータセット内にスキャン結果を含む新しいテーブルが作成されています(検索条件に一致する結果が検出されなかった場合、新しいテーブルは作成されません)。

クリーンアップ

このチュートリアルで使用したリソースについて GCP アカウントに課金されないようにするには:

  1. 必要に応じて、ジョブトリガーを作成したプロジェクトの名前を GCP Console 上部のメニューから選択します。その後に GCP Console で Cloud DLP を開きます。

    Cloud DLP に移動

  2. [ジョブトリガー] タブをクリックします。現在のプロジェクトにあるすべてのジョブトリガーが一覧表示されます。

  3. 削除するジョブトリガーの [操作] 列にあるその他アイコンをクリックし、[削除] をクリックします。

    DLP UI のジョブトリガー一覧で [操作] メニューが開いた状態のスクリーンショット

または、ジョブトリガーの一覧で削除対象のジョブの名前をクリックし、ジョブトリガーの詳細ページで [削除] をクリックします。

次のステップ

  • GCP Console 内の Cloud DLP、Cloud DLP API、複数のプログラミング言語のクライアント ライブラリのいずれかを使用して、ジョブとジョブトリガーを作成する方法を学ぶ。Cloud DLP のジョブとジョブトリガーの作成をご覧ください。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Data Loss Prevention