このページでは、組織全体のデータアセットの機密性とデータリスク レベルを示す検出結果を生成するように、Sensitive Data Protection を設定する方法について説明します。この手順では、Security Command Center のエンタープライズ ティアに登録している場合に機密データの検出を有効にする方法について説明します。Security Command Center のサービスティアに関係なく機密データの検出を有効にする方法については、Sensitive Data Protection のドキュメントの次のページをご覧ください。
仕組み
Sensitive Data Protection の検出サービスにより、機密データやリスクの高いデータが存在する場所を特定して、組織全体のデータを保護できます。Sensitive Data Protection では、このサービスによってデータ プロファイルが生成されます。これにより、データに関する指標と分析情報がさまざまな詳細レベルで提供されます。Security Command Center では、このサービスによって以下のことが行われます。
Security Command Center で、BigQuery と Cloud SQL のデータの計算された機密性とデータリスク レベルを示す観察結果を生成します。これらの検出結果を使用して、データアセットに関連する脅威や脆弱性に遭遇した際の対応に関する情報を提供できます。生成された検出結果タイプの一覧については、検出サービスによるモニタリング検出結果をご覧ください。
この検出結果により、データの機密性に基づいて高価値リソースの自動指定に関する情報が提供されます。詳細については、このページの検出分析情報を使用して高価値リソースを特定するをご覧ください。
Sensitive Data Protection が Cloud Functions の環境変数にシークレットの存在を検出すると、Security Command Center で脆弱性の検出結果を生成します。環境変数は暗号化されないため、パスワードなどのシークレットを環境変数に格納することは安全ではありません。Sensitive Data Protection で検出されるシークレットの種類の一覧については、認証情報とシークレットをご覧ください。生成された検出結果のタイプの一覧については、Sensitive Data Protection 検出サービスによる脆弱性の検出結果をご覧ください。
組織の機密データの検出を有効にするには、スキャンするサポート対象のリソースごとに検出スキャン構成を 1 つ作成します。
料金
機密データの検出は、サービスティアに関係なく、Security Command Center とは別に課金されます。検出用のサブスクリプションを購入しない場合は、使用量(スキャンされたバイト数)に基づいて課金されます。詳細については、Sensitive Data Protection に関するドキュメントの検出の料金をご覧ください。
始める前に
以下のタスクを完了してから、このページの残りのタスクを完了してください。
Security Command Center のエンタープライズ ティアを有効にする
設定ガイドのステップ 1 とステップ 2 を完了して、Security Command Center のエンタープライズ ティアを有効にします。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
統合サービスとして Sensitive Data Protection を有効にする
Sensitive Data Protection がまだ統合サービスとして有効になっていない場合は、有効にします。詳細については、Google Cloud 統合サービスを追加するをご覧ください。
権限を設定する
機密データの検出を構成するために必要な権限を取得するには、組織に対する以下の IAM ロールの付与を管理者に依頼してください。
| Purpose | 事前定義ロール | 関連する権限 |
|---|---|---|
| 検出スキャン構成を作成してデータ プロファイルを表示する | DLP 管理者(roles/dlp.admin)
|
|
| サービス エージェント コンテナとして使用されるプロジェクトを作成する1 | プロジェクト作成者(roles/resourcemanager.projectCreator) |
|
| 検出アクセス権を付与する2 | 次のいずれかになります。
|
|
1 プロジェクト作成者(roles/resourcemanager.projectCreator)のロールが付与されていなくても、スキャン構成を作成できますが、使用するサービス エージェント コンテナは既存のプロジェクトにする必要があります。
2 組織管理者(roles/resourcemanager.organizationAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロールを付与されていなくても、スキャン構成を作成できます。スキャン構成を作成した後、これらのロールのいずれかを持つ組織内のユーザーがサービス エージェントに検出アクセス権を付与する必要があります。
ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
検出を有効にする
検出を有効にするには、有効にする検出タイプごとにスキャン構成を作成します。
Google Cloud コンソールで設定ページに移動します。
Security Command Center のエンタープライズ ティアを有効にした組織が表示されていることを確認します。
[Sensitive Data Protection を設定する] をクリックします。Sensitive Data Protection の検出ダッシュボードが表示されます。ダッシュボードの [プロダクトの対象範囲] セクションには、各検出タイプのステータスが表示されます。
有効にする検出タイプには、[有効にする] をクリックします。たとえば、組織内の BigQuery テーブルをスキャンする場合は、BigQuery カードで [有効にする] をクリックします。
[スキャン構成の作成] ページが開きます。
組織レベルで検出を構成します。詳細については、有効にする検出の種類に応じて次のいずれかのページをご覧ください。
この手順を繰り返して、残りの検出タイプのスキャン構成を作成します。
Sensitive Data Protection によってデータ プロファイルが生成されてから、関連する Data sensitivity と Data risk の検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。
Sensitive Data Protection でシークレット検出を有効にしてから、環境変数の初期スキャンが完了して Secrets in environment variables の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。その後、Sensitive Data Protection は 24 時間ごとに環境変数をスキャンします。実際には、スキャンはそれよりも頻繁に実行される場合があります。
Sensitive Data Protection によって生成された検出結果を表示するには、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。
検出分析情報を使用して高価値リソースを特定する
攻撃パス シミュレーション機能のリソース値の構成を作成する際に、Security Command Center で Sensitive Data Protection の検出分析情報オプションを有効にすると、高機密データまたは中程度の機密データを含む BigQuery データセットを高価値リソースとして自動的に指定できます。
高価値リソースの場合、Security Command Center は、攻撃の発生可能性スコアを提供して攻撃パスの可視化を実現します。これにより、機密データを含むリソースのセキュリティを優先できます。
攻撃パス シミュレーションでは、bigquery.googleapis.com/Dataset データ リソースタイプに対してのみ、Sensitive Data Protection のデータ機密性の分類に基づいて優先度値を自動的に設定できます。