このページでは、Enterprise ティアに登録し、Sensitive Data Protection(別料金のプロダクト)を有効にしている場合に、デフォルト設定を使用して機密データの検出を有効にする方法について説明します。検出を有効にした後、いつでも設定をカスタマイズできます。
検出を有効にすると、Sensitive Data Protection は、組織全体のデータの機密性とデータリスク レベルを示す Security Command Center の検出結果を生成します。
Security Command Center のサービスティアに関係なく機密データの検出を有効にする方法については、Sensitive Data Protection のドキュメントの次のページをご覧ください。
仕組み
Sensitive Data Protection の検出サービスにより、機密データやリスクの高いデータが存在する場所を特定して、組織全体のデータを保護できます。Sensitive Data Protection では、このサービスによってデータ プロファイルが生成されます。これにより、データに関する指標と分析情報がさまざまな詳細レベルで提供されます。Security Command Center では、このサービスによって以下のことが行われます。
Security Command Center で、BigQuery と Cloud SQL のデータの計算された機密性とデータリスク レベルを示す観察結果を生成します。これらの検出結果を使用して、データアセットに関連する脅威や脆弱性に遭遇した際の対応に関する情報を提供できます。生成された検出結果タイプの一覧については、検出サービスによるモニタリング検出結果をご覧ください。
この検出結果により、データの機密性に基づいて高価値リソースの自動指定に関する情報が提供されます。詳細については、このページの検出分析情報を使用して高価値リソースを特定するをご覧ください。
Sensitive Data Protection が Cloud Functions の環境変数にシークレットの存在を検出すると、Security Command Center で脆弱性の検出結果を生成します。環境変数は暗号化されないため、パスワードなどのシークレットを環境変数に格納することは安全ではありません。Sensitive Data Protection で検出されるシークレットの種類の一覧については、認証情報とシークレットをご覧ください。生成された検出結果のタイプの一覧については、Sensitive Data Protection 検出サービスによる脆弱性の検出結果をご覧ください。
組織の機密データの検出を有効にするには、スキャンするサポート対象のリソースごとに検出スキャン構成を 1 つ作成します。
料金
機密データの検出は、サービスティアに関係なく、Security Command Center とは別に課金されます。検出用のサブスクリプションを購入しない場合は、使用量(スキャンされたバイト数)に基づいて課金されます。詳細については、Sensitive Data Protection に関するドキュメントの検出の料金をご覧ください。
始める前に
以下のタスクを完了してから、このページの残りのタスクを完了してください。
Security Command Center のエンタープライズ ティアを有効にする
設定ガイドのステップ 1 とステップ 2 を完了して、Security Command Center のエンタープライズ ティアを有効にします。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
統合サービスとして Sensitive Data Protection を有効にする
Sensitive Data Protection がまだ統合サービスとして有効になっていない場合は、有効にします。詳細については、Google Cloud 統合サービスを追加するをご覧ください。
権限を設定する
機密データの検出を構成するために必要な権限を取得するには、組織に対する以下の IAM ロールの付与を管理者に依頼してください。
| Purpose | 事前定義ロール | 関連する権限 |
|---|---|---|
| 検出スキャン構成を作成してデータ プロファイルを表示する | DLP 管理者(roles/dlp.admin)
|
|
| サービス エージェント コンテナとして使用されるプロジェクトを作成する1 | プロジェクト作成者(roles/resourcemanager.projectCreator) |
|
| 検出アクセス権を付与する2 | 次のいずれかになります。
|
|
1 プロジェクト作成者(roles/resourcemanager.projectCreator)のロールが付与されていなくても、スキャン構成を作成できますが、使用するサービス エージェント コンテナは既存のプロジェクトにする必要があります。
2 組織管理者(roles/resourcemanager.organizationAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロールを付与されていなくても、スキャン構成を作成できます。スキャン構成を作成した後、これらのロールのいずれかを持つ組織内のユーザーがサービス エージェントに検出アクセス権を付与する必要があります。
ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
デフォルト設定で検出を有効にする
検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。この手順を行うと、デフォルト設定を使用して、これらの検出構成を自動的に作成できます。この手順を実行した後、いつでも設定をカスタマイズできます。
最初から設定をカスタマイズする場合は、次のページをご覧ください。
- 組織またはフォルダの BigQuery データのプロファイリング
- 組織またはフォルダで Cloud SQL データをプロファイリングする
- 環境変数内のシークレットを Security Command Center に報告する
デフォルト設定で検出を有効にする手順は次のとおりです。
Google Cloud コンソールで、Sensitive Data Protection の [検出の有効化] ページに移動します。
Security Command Center を有効にした組織が表示されていることを確認します。
[サービス エージェント コンテナ] フィールドで、サービス エージェント コンテナとして使用するプロジェクトを設定します。このプロジェクト内では、システムがサービス エージェントを作成し、必要な検出権限を自動的に付与します。
以前に組織で検出サービスを使用していた場合は、再利用できるサービス エージェント コンテナ プロジェクトがすでに存在する可能性があります。
- サービス エージェント コンテナとして使用するプロジェクトを自動的に作成するには、提案されたプロジェクト ID を確認し、必要に応じて編集します。次に [作成] をクリックします。新しいプロジェクトのサービス エージェントに権限が付与されるまでに数分かかることがあります。
- 既存のプロジェクトを選択するには、[Service agent container] フィールドをクリックしてプロジェクトを選択します。
デフォルト設定を確認するには、展開アイコン をクリックします。
[検出の有効化] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次の処理が行われます。
- BigQuery: 組織全体の BigQuery テーブルをプロファイリングするための検出構成を作成します。Sensitive Data Protection は、BigQuery データのプロファイリングを開始し、そのプロファイルを Security Command Center に送信します。
- Cloud SQL: 組織全体の Cloud SQL テーブルをプロファイリングするための検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスに対してデフォルト接続の作成を開始します。この処理には、数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベース ユーザー認証情報で各接続を更新し、Sensitive Data Protection のCloud SQL インスタンスへのアクセスを許可します。
- シークレット/認証情報の脆弱性: Cloud Functions の環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
新しく作成した検出構成を表示するには、[検出構成に移動] をクリックします。
Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。サービス エージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスのデータベース ユーザー認証情報を指定するには、検出で使用する接続を管理するをご覧ください。
ペインを閉じます。
Sensitive Data Protection によってデータ プロファイルが生成されてから、関連する Data sensitivity と Data risk の検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。
Sensitive Data Protection でシークレット検出を有効にしてから、環境変数の初期スキャンが完了して Secrets in environment variables の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。その後、Sensitive Data Protection は 24 時間ごとに環境変数をスキャンします。実際には、スキャンはそれよりも頻繁に実行される場合があります。
Sensitive Data Protection によって生成された検出結果を表示するには、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。
検出分析情報を使用して高価値リソースを特定する
攻撃パス シミュレーション機能のリソース値の構成を作成する際に、Security Command Center で Sensitive Data Protection の検出分析情報オプションを有効にすると、高機密データまたは中程度の機密データを含む BigQuery データセットを高価値リソースとして自動的に指定できます。
高価値リソースの場合、Security Command Center は、攻撃の発生可能性スコアを提供して攻撃パスの可視化を実現します。これにより、機密データを含むリソースのセキュリティを優先できます。
攻撃パス シミュレーションでは、次のデータ リソースタイプに対してのみ、Sensitive Data Protectionのデータ機密性の分類に基づいて優先度値を自動的に設定できます。
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
スキャン構成をカスタマイズする
スキャン構成を作成した後、スキャン構成をカスタマイズできます。たとえば、次の操作が可能です。
- スキャンの頻度を調整します。
- 再プロファイリングしないデータアセットのフィルタを指定します。
- Sensitive Data Protection がスキャンする情報タイプを定義する検査テンプレートを変更します。
- 生成されたデータ プロファイルを他の Google Cloud サービスに公開します。
- サービス エージェント コンテナを変更します。
スキャン構成をカスタマイズするには、次の手順を行います。
- スキャン構成を編集用に開きます。
必要に応じて、設定を更新します。[スキャン構成を編集] ページのオプションの詳細については、次のページをご覧ください。