クイックスタート: Cloud DLP 検査スキャンのスケジュール設定

Cloud データ損失防止(DLP)のジョブトリガー機能を使用して、コンテンツの検査スキャンをスケジュールできます。ジョブトリガーは、Google Cloud Storage リポジトリ(Cloud Storage、BigQuery、Datastore)をスキャンする Cloud DLP ジョブの実行を自動化するイベントです。

始める前に

このクイックスタートでは、スキャン対象のストレージ リポジトリがすでに決まっていることを前提としています。決まっていない場合は、利用可能な BigQuery 一般公開データセットのいずれかをスキャンすることを検討してください。

  1. Google アカウントにログインします。

    Google アカウントをまだお持ちでない場合は、新しいアカウントを登録します。

  2. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

    [プロジェクトの選択] ページに移動

  3. Cloud プロジェクトに対して課金が有効になっていることを確認します。プロジェクトに対して課金が有効になっていることを確認する方法を学習する

  4. Cloud DLP API を有効にします。

    API を有効にする

Cloud DLP を開く

Cloud Console で Cloud DLP にアクセスするには、次のようにします。

Cloud DLP に移動

または、次の操作を行います。

  1. Cloud Console でナビゲーション メニューが表示されていない場合は、ページの左上隅にあるナビゲーション ボタンをクリックします。
  2. [セキュリティ] にカーソルを合わせ、[データ損失防止] をクリックします。

Cloud DLP のメインページが開きます。

新しいジョブトリガーの作成と入力データの選択

Cloud DLP でジョブトリガーを作成するには:

  1. Cloud Console で、Cloud DLP を開きます。

    Cloud DLP に移動

  2. [作成] メニューで [ジョブまたはジョブトリガー] を選択します。

    または、次のボタンをクリックします。

    新しいジョブトリガーを作成

  3. [ジョブまたはジョブトリガーを作成] ページで、まずジョブの名前を入力します。文字、数字、ハイフンを使用できます。

  4. 次に、[ストレージの種類] メニューで、スキャンするデータが保存されているリポジトリの種類(Cloud Storage、BigQuery、Datastore)を選択します。

    • Cloud Storage の場合は、スキャンするバケットの URL を入力します。または、[ロケーション タイプ] メニューから [含める / 含めない] を選択した後、[BROWSE] をクリックしてスキャン対象のバケットまたはサブフォルダに移動します。指定したディレクトリとそこに含まれるすべてのディレクトリをスキャンするには、[フォルダを再帰的にスキャンする] チェックボックスをオンにします。下位ディレクトリを対象にせず、指定したディレクトリだけをスキャンする場合は、このチェックボックスはオフのままにします。
    • BigQuery の場合は、スキャン対象のプロジェクト、データセット、テーブルの ID を入力します。
    • Datastore の場合は、スキャンするプロジェクト、名前空間、種類の ID を入力します。

データの場所と高度な構成の詳細を指定したら、[続行] をクリックします。

検出パラメータの構成

[検出の設定] セクションで、スキャン対象のセンシティブ データの種類を指定します。

このクイックスタートでは、上記のセクションはデフォルト値のままにします。これにより、指定したデータ リポジトリの一部(Cloud Storage ではすべてのファイルの 50%、BigQuery では最大 1,000 行)で、すべての組み込み基本情報タイプ(infoType)がスキャンされます。

このセクションの設定の詳細については、「Cloud DLP のジョブとジョブトリガーの作成」の検出の構成をご覧ください。

スキャン後のアクションの追加

[アクションの追加] セクションでは、検査スキャンの完了後にその結果に対して Cloud DLP で実施するアクションを指定します。このステップでは、検査結果を新しい BigQuery テーブルに保存することを選択します。

各オプションの詳しい説明については、「Cloud DLP 検査ジョブの作成とスケジュール設定」のアクションの追加をご覧ください。

BigQuery の切り替えボタンをクリックします。次のスクリーンショットに示すように、[プロジェクト ID] フィールドにプロジェクト ID を入力します。[データセット ID] フィールドには、データセットに付けた名前を入力します。[テーブル ID] フィールドは空白のままにして、Cloud DLP によって新しいテーブルが作成されるようにします。設定が完了したら、[続行] をクリックします。

アクションの詳細については、アクションの概念のトピックをご覧ください。

スケジュールの設定

[スケジュール] セクションでは、ジョブトリガーを開始して、指定したジョブを実行する頻度を Cloud DLP に指示します。

メニューから [周期スケジュールでジョブを実行するトリガーを作成] を選択します。ジョブの実行頻度のデフォルト値は 24 時間です。この値は 1~60 日の任意の値に変更できます。期間は時間、日数、週で指定します。

[前回のスキャンの完了後、新たに追加または変更されたコンテンツのみにスキャンを制限する] チェックボックスをオンにすると、前回のスキャン後に新たに追加されたコンテンツだけがスキャンされます。つまり、スキャン対象になるのは、このジョブトリガーによって生成されたジョブがスキャンしたストレージ リポジトリに新たに追加されたコンテンツだけです。

[続行] をクリックします。

ジョブトリガーの確認

[確認] セクションには、指定したジョブ設定の JSON 形式の要約が含まれています。

[作成] をクリックしてジョブトリガーを作成します。

ジョブトリガーの実行と結果の表示

ジョブトリガーを作成すると、[トリガーの詳細] ページが表示されます。

すぐにジョブをトリガーするには、画面上部の [今すぐ実行] をクリックします。

このジョブトリガーによってトリガーされたジョブは、詳細ページの [トリガーされたジョブ] セクションに一覧表示されます。作成したジョブトリガーが 1 回実行されたら、[名前] 列でジョブ名をクリックし、選択します。

[ジョブの詳細] ページには、最初にジョブの結果が一覧表示され、その後にスキャンされた内容に関する情報が続きます。

結果を BigQuery に保存することを選択した場合は、[トリガーの詳細] ページで [結果を BigQuery で表示] をクリックします。指定したデータセット内に、スキャンの結果を含む新しいテーブルが Cloud DLP によって作成されます(検索条件に一致する結果が検出されなかった場合、新しいテーブルは作成されません)。

クリーンアップ

このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順に従います。

プロジェクトの削除

課金をなくす最も簡単な方法は、チュートリアル用に作成したプロジェクトを削除することです。

プロジェクトを削除するには:

  1. Cloud Console で [リソースの管理] ページに移動します。

    [リソースの管理] ページに移動

  2. プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
  3. ダイアログでプロジェクト ID を入力し、[シャットダウン] をクリックしてプロジェクトを削除します。

ジョブトリガーの削除

保持する既存のプロジェクトでジョブトリガーを作成した場合:

  1. 必要に応じて、Cloud Console の上部にあるメニューから、ジョブトリガーを作成したプロジェクトの名前を選択します。次に、Cloud Console で Cloud DLP を開きます。

    Cloud DLP に移動

  2. [ジョブトリガー] タブをクリックします。現在のプロジェクトにあるすべてのジョブトリガーが一覧表示されます。

  3. 削除するジョブトリガーの [操作] 列で、[その他の操作] メニュー(縦に並んだ 3 つの点で表示) をクリックし、[削除] をクリックします。

または、ジョブトリガーの一覧で削除対象のジョブの名前をクリックし、ジョブトリガーの詳細ページで [削除] をクリックします。

次のステップ

  • Cloud Console の Cloud DLP、Cloud DLP API、またはプログラミング言語のクライアント ライブラリを使用して検査ジョブやジョブトリガーを作成する方法の詳細については、Cloud DLP 検査ジョブの作成とスケジュール設定をご覧ください。