このページでは、Enterprise ティアに登録し、Sensitive Data Protection 検出サービスを有効にしている場合に、デフォルト設定を使用して機密データの検出を有効にする方法について説明します。検出を有効にした後は、いつでも設定をカスタマイズできます。
Sensitive Data Protection 検出サービスは、Security Command Center Enterprise サブスクリプションに含まれています。検出容量は、処理ニーズに基づいて動的に割り振られます。
利点
この機能には、次の利点があります。
Sensitive Data Protection の検出結果を使用して、機密データを一般公開または悪意のある行為者に公開する可能性があるリソースの脆弱性を特定して修正できます。
これらの検出結果を使用して、トリアージ プロセスにコンテキストを追加し、機密データを含むリソースをターゲットとする脅威の優先度を設定できます。
リソースに含まれるデータの機密性に基づいて、攻撃パス シミュレーション機能のリソースの優先度を自動的に設定するように Security Command Center を構成できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。
仕組み
Sensitive Data Protection の検出サービスにより、機密データやリスクの高いデータが存在する場所を特定して、組織全体のデータを保護できます。Sensitive Data Protection では、このサービスによってデータ プロファイルが生成されます。これにより、データに関する指標と分析情報がさまざまな詳細レベルで提供されます。Security Command Center では、このサービスによって以下のことが行われます。
Security Command Center で、データの計算された機密性とデータリスク レベルを示すモニタリングの検出結果を生成します。これらの検出結果を使用して、データアセットに関連する脅威や脆弱性に遭遇した際の対応に関する情報を提供できます。生成された検出結果タイプの一覧については、検出サービスによるモニタリング検出結果をご覧ください。
この検出結果により、データの機密性に基づいて高価値リソースの自動指定に関する情報が提供されます。詳細については、このページの検出分析情報を使用して高価値リソースを特定するをご覧ください。
Sensitive Data Protection が保護されていない機密性の高いデータの存在を検出すると、Security Command Center で脆弱性の検出結果を生成します。生成された検出結果のタイプの一覧については、Sensitive Data Protection 検出サービスによる脆弱性の検出結果をご覧ください。
組織の機密データの検出を有効にするには、スキャンするサポート対象のリソースごとに検出スキャン構成を 1 つ作成します。
検出生成のレイテンシ
Sensitive Data Protection によってデータ プロファイルが生成されてから、関連する検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。
Sensitive Data Protection でシークレット検出を有効にしてから、環境変数の初期スキャンが完了して Secrets in environment variables の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。その後、Sensitive Data Protection は 24 時間ごとに環境変数をスキャンします。実際には、スキャンはそれよりも頻繁に実行される場合があります。
始める前に
以下のタスクを完了してから、このページの残りのタスクを完了してください。
Security Command Center のエンタープライズ ティアを有効にする
設定ガイドのステップ 1 とステップ 2 を完了して、Security Command Center のエンタープライズ ティアを有効にします。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
統合サービスとして Sensitive Data Protection を有効にする
Sensitive Data Protection がまだ統合サービスとして有効になっていない場合は、有効にします。詳細については、Google Cloud 統合サービスを追加するをご覧ください。
権限を設定する
機密データの検出を構成するために必要な権限を取得するには、組織に対する以下の IAM ロールの付与を管理者に依頼してください。
| 目的 | 事前定義ロール | 関連する権限 |
|---|---|---|
| 検出スキャン構成を作成してデータ プロファイルを表示する | DLP 管理者(roles/dlp.admin)
|
|
| サービス エージェント コンテナとして使用されるプロジェクトを作成する1 | プロジェクト作成者(roles/resourcemanager.projectCreator) |
|
| 検出へのアクセス権を付与する2 | 次のいずれかになります。
|
|
1 プロジェクト作成者(roles/resourcemanager.projectCreator)のロールが付与されていなくても、スキャン構成を作成できますが、使用するサービス エージェント コンテナは既存のプロジェクトにする必要があります。
2 組織管理者(roles/resourcemanager.organizationAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロールを付与されていなくても、スキャン構成を作成できます。スキャン構成を作成した後、これらのロールのいずれかを持つ組織内のユーザーがサービス エージェントに検出アクセス権を付与する必要があります。
ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
デフォルト設定で検出を有効にする
検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。この手順では、デフォルト設定を使用してこれらの検出構成を自動的に作成します。この手順を実行した後、設定はいつでもカスタマイズできます。
最初から設定をカスタマイズする場合は、次のページをご覧ください。
- 組織またはフォルダの BigQuery データのプロファイリング
- 組織またはフォルダで Cloud SQL データをプロファイリングする
- 組織またはフォルダ内の Cloud Storage データをプロファイリングする
- 組織またはフォルダの Vertex AI データをプロファイリングする(プレビュー)
- Amazon S3 の機密データの検出
- 環境変数のシークレットを Security Command Center に報告する
デフォルト設定で検出を有効にする手順は次のとおりです。
Google Cloud コンソールで、Sensitive Data Protection の [検出の有効化] ページに移動します。
Security Command Center を有効にした組織が表示されていることを確認します。
[サービス エージェント コンテナ] フィールドで、サービス エージェント コンテナとして使用するプロジェクトを設定します。このプロジェクト内で、システムはサービス エージェントを作成し、必要な検出権限を自動的に付与します。
以前に組織で検出サービスを使用していた場合は、再利用できるサービス エージェント コンテナ プロジェクトがすでにある可能性があります。
- サービス エージェント コンテナとして使用するプロジェクトを自動的に作成するには、提案されたプロジェクト ID を確認し、必要に応じて編集します。次に [作成] をクリックします。新しいプロジェクトのサービス エージェントに権限が付与されるまでに数分かかることがあります。
- 既存のプロジェクトを選択するには、[サービス エージェント コンテナ] フィールドをクリックしてプロジェクトを選択します。
デフォルト設定を確認するには、 展開アイコンをクリックします。
[検出を有効にする] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次のことが行われます。
- BigQuery: 組織全体の BigQuery テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection が BigQuery データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Cloud SQL: 組織全体の Cloud SQL テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスのデフォルト接続の作成を開始します。この処理には数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベース ユーザー認証情報で各接続を更新し、Sensitive Data Protection のCloud SQL インスタンスへのアクセスを許可します。
- シークレット/認証情報の脆弱性: Cloud Run 環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
- Cloud Storage: 組織全体の Cloud Storage バケットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Cloud Storage データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Vertex AI データセット: 組織全体の Vertex AI データセットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は Vertex AI データセットのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
Amazon S3: 組織、単一の S3 アカウント、または単一のバケット全体の Amazon S3 データをプロファイリングするための検出構成を作成します。
新しく作成された検出構成を表示するには、[検出構成に移動] をクリックします。
Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。サービス エージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスにデータベース ユーザー認証情報を提供するには、検出に使用する接続を管理するをご覧ください。
ペインを閉じます。
Sensitive Data Protection によって生成された検出結果を表示するには、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。
検出分析情報を使用して高価値リソースを特定する
攻撃パス シミュレーション機能のリソース値の構成を作成する際に、Security Command Center で Sensitive Data Protection の検出分析情報オプションを有効にすると、高機密データまたは中程度の機密データを含むリソースを高価値リソースとして自動的に指定できます。
高価値リソースの場合、Security Command Center は、攻撃の発生可能性スコアを提供して攻撃パスの可視化を実現します。これにより、機密データを含むリソースのセキュリティを優先できます。
攻撃パス シミュレーションでは、次のデータ リソースタイプに対してのみ、Sensitive Data Protection の検出のデータ機密性の分類に基づいて優先度値を自動的に設定できます。
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instancestorage.googleapis.com/Bucket
スキャン構成をカスタマイズする
スキャン構成を作成したら、カスタマイズできます。たとえば、次の操作が可能です。
- スキャン頻度を調整します。
- プロファイルを再作成しないデータアセットのフィルタを指定します。
- Sensitive Data Protection がスキャンする情報タイプを定義する検査テンプレートを変更します。
- 生成されたデータ プロファイルを他の Google Cloud サービスに公開します。
- サービス エージェント コンテナを変更します。