データ セキュリティ ポスチャー管理(DSPM)は、保有しているデータの種類、データの保存場所、セキュリティとコンプライアンスの要件に沿った方法でデータが使用されているかどうかを把握するのに役立ちます。DSPM を使用すると、次のタスクを実行できます。
リソースタイプ、ロケーション、プロジェクト ID などのフィルタを使用して、 Google Cloud 環境内のデータリソースを検出します。
Google が推奨するベスト プラクティスに照らして現在のデータ セキュリティ体制を評価し、潜在的なセキュリティとコンプライアンスの問題を特定して修正します。
データ セキュリティとコンプライアンスの要件をデータ セキュリティ クラウド コントロールにマッピングします。
フレームワークを使用して、データ セキュリティ クラウド制御を適用します。
ワークロードが適用されたデータ セキュリティ フレームワークにどの程度準拠しているかをモニタリングし、違反を修正して、監査用の証拠を生成します。
DSPM は Sensitive Data Protection と連携します。Sensitive Data Protection は組織内の機密データを検出し、DSPM を使用すると、機密データにデータ セキュリティ クラウド制御をデプロイして、セキュリティとコンプライアンスの要件を満たすことができます。
DSPM コンポーネント
以降のセクションでは、DSPM のコンポーネントについて説明します。
データ セキュリティ ダッシュボード
Google Cloud コンソールのデータ セキュリティ ダッシュボードでは、組織のデータがデータ セキュリティとコンプライアンスの要件にどのように準拠しているかを確認できます。
データ セキュリティ ダッシュボードのデータマップ エクスプローラには、データが保存されている地理的な場所が表示されます。また、地理的な場所、データの機密性、関連するプロジェクト、データを保存するGoogle Cloud サービスでデータに関する情報をフィルタできます。データマップの円は、そのリージョン内のデータリソースとアラート付きのデータリソースの相対的な数を示しています。
データ リソースがデータ セキュリティ クラウド制御に違反した場合に発生するデータ セキュリティの検出結果を表示できます。データ セキュリティの検出結果では、DATA_SECURITY 検出結果カテゴリが使用されます。新しい検出結果が生成されてから、データマップ エクスプローラに表示されるまでに最大 2 時間かかることがあります。
デプロイされたデータ セキュリティ フレームワーク、各フレームワークに関連付けられている未解決の検出結果の数、環境内のリソースのうち少なくとも 1 つのフレームワークでカバーされているリソースの割合に関する情報を確認することもできます。
データ セキュリティ フレームワーク
フレームワークを使用して、データ セキュリティとコンプライアンスの要件を定義し、それらの要件を Google Cloud 環境に適用します。DSPM には、データ セキュリティとコンプライアンスの推奨ベースライン制御を定義するデータ セキュリティとプライバシーの基本フレームワークが含まれています。DSPM を有効にすると、このフレームワークは検出モードのGoogle Cloud 組織に自動的に適用されます。生成された検出結果を使用して、データ ポスチャーを強化できます。
必要に応じて、フレームワークのコピーを作成して、カスタム データ セキュリティ フレームワークを作成できます。高度なデータ セキュリティ クラウド制御をカスタム フレームワークに追加し、カスタム フレームワークを組織、フォルダ、プロジェクトに適用できます。たとえば、特定のフォルダに管轄区域の制御を適用するカスタム フレームワークを作成して、それらのフォルダ内のデータが特定の地理的リージョン内に留まるようにすることができます。
データ セキュリティとプライバシーの基本フレームワーク
次のクラウド制御は、データ セキュリティとプライバシーの基本フレームワークの一部です。
| クラウド コントロール | 説明 |
|---|---|
機密データ BIGQUERY テーブルの CMEK が無効 |
機密データを含む BigQuery テーブルで CMEK が使用されていない場合を検出します。 |
機密データのデータセット CMEK が無効 |
機密データを含む BigQuery データセットで CMEK が使用されていない場合を検出します。 |
機密データの一般公開データセット |
一般公開されている BigQuery データセット内の機密データを検出します。 |
機密データを含む公開 SQL インスタンス |
一般公開されている SQL データベース内の機密データを検出します。 |
SENSITIVE DATA SQL CMEK DISABLED |
機密データを含む SQL データベースで CMEK が使用されていない場合を検出します。 |
高度なデータ セキュリティ クラウド コントロール
DSPM には、追加のデータ セキュリティ要件を満たすのに役立つ高度なデータ セキュリティ クラウド コントロールが含まれています。高度なデータ セキュリティ クラウド制御には、次のものがあります。
- データアクセス ガバナンス: 指定したプリンシパル以外のプリンシパルが機密データにアクセスしているかどうかを検出します。
- データフロー ガバナンス: 指定された地理的(国)のロケーション外のクライアントが機密データにアクセスしているかどうかを検出します。
- データ保護と鍵のガバナンス: 顧客管理の暗号鍵(CMEK)による暗号化なしで機密データが作成されているかどうかを検出します。
- データ削除: センシティブ データの最大保持期間ポリシーに対する違反を検出します。
これらのコントロールは検出モードのみをサポートしています。これらの制御のデプロイの詳細については、DCPM を使用するをご覧ください。
データ セキュリティ クラウド コントロール
以降のセクションでは、高度なデータ セキュリティ クラウド制御について説明します。
データアクセス ガバナンス クラウド制御
この制御により、機密データへのアクセスが指定されたプリンシパル セットに制限されます。データリソースへの非準拠アクセス試行(許可されたプリンシパル以外のプリンシパルによるアクセス)があると、検出結果が作成されます。サポートされているプリンシパルのタイプは、ユーザー アカウントまたはグループです。使用する形式については、サポートされているプリンシパル形式の表をご覧ください。
ユーザー アカウントには次のものが含まれます。
- ユーザーが google.com で登録した一般ユーザー向け Google アカウント(Gmail.com アカウントなど)
- ビジネス向けの管理対象 Google アカウント
- Google Workspace for Education アカウント
ユーザー アカウントには、ロボット アカウント、サービス アカウント、委任専用のブランド アカウント、リソース アカウント、デバイス アカウントは含まれません。
サポートされているアセットタイプは次のとおりです。
- BigQuery のデータセットとテーブル
- Cloud Storage バケット
- Vertex AI モデル、データセット、特徴ストア、メタデータ ストア
DSPM は、ユーザー アカウントがサポートされているリソースタイプを読み取るたびに、この制御との適合性を評価します。
このクラウド制御では、Cloud Storage と Vertex AI のデータアクセス監査ログを有効にする必要があります。
次のような制限があります。
- 読み取りオペレーションのみがサポートされています。
- サービス アカウントによるアクセス(サービス アカウントの権限借用を含む)は、この制御の対象外です。緩和策として、信頼できるサービス アカウントのみが機密性の高い Cloud Storage、BigQuery、Vertex AI リソースにアクセスできるようにします。また、アクセス権を付与すべきでないユーザーには、サービス アカウント トークン作成者(
roles/iam.serviceAccountTokenCreator)のロールを付与しないでください。 - この制御では、Storage Transfer Service や BigQuery Data Transfer Service によって作成されたコピーなど、サービス アカウント オペレーションによって作成されたコピーへのユーザーによるアクセスを防止できません。ユーザーは、この制御が有効になっていないデータのコピーにアクセスできます。
- リンクされたデータセットはサポートされていません。リンクされたデータセットは、ソース データセットへのシンボリック リンクとして機能する読み取り専用の BigQuery データセットを作成します。リンクされたデータセットではデータアクセス監査ログが生成されず、権限のないユーザーがフラグなしでデータを読み取れる可能性があります。たとえば、ユーザーがデータセットをコンプライアンス境界外のデータセットにリンクしてアクセス制御を回避し、ソース データセットに対してログを生成せずに新しいデータセットをクエリする可能性があります。緩和策として、機密性の高い BigQuery リソースにアクセスできないユーザーには、BigQuery 管理者(
roles/bigquery.admin)、BigQuery データオーナー(roles/bigquery.dataOwner)、BigQuery Studio 管理者(roles/bigquery.studioAdmin)のロールを付与しないでください。 - ワイルドカード テーブル クエリは、テーブルセット レベルではなく、データセット レベルでサポートされています。この機能を使用すると、ワイルドカード式を使用して複数の BigQuery テーブルを同時にクエリできます。DSPM は、ワイルドカード クエリを、データセット内の個々のテーブルではなく、親 BigQuery データセットにアクセスしているかのように処理します。
- Cloud Storage オブジェクトへの一般公開アクセスはサポートされていません。一般公開アクセスでは、ポリシーの確認なしですべてのユーザーにアクセス権が付与されます。
- 認証済みのブラウザ セッションを使用した Cloud Storage オブジェクトへのアクセスまたはダウンロードはサポートされていません。
データフロー ガバナンス クラウド コントロール
この制御を使用すると、データにアクセスできる国を指定できます。クラウド制御は次のように機能します。
読み取りリクエストがインターネットから送信された場合、国は読み取りリクエストの IP アドレスに基づいて決定されます。プロキシを使用して読み取りリクエストを送信する場合、アラートはプロキシの場所に基づいて送信されます。
読み取りリクエストが Compute Engine VM から送信された場合、国はリクエストの送信元であるクラウドゾーンによって決まります。
サポートされているアセットタイプは次のとおりです。
- BigQuery のデータセットとテーブル
- Cloud Storage バケット
- Vertex AI モデル、データセット、特徴ストア、メタデータ ストア
次のような制限があります。
- 読み取りオペレーションのみがサポートされています。
- Vertex AI では、インターネットからのリクエストのみがサポートされます。
- Cloud Storage オブジェクトへの一般公開アクセスはサポートされていません。
- 認証済みのブラウザ セッションを使用した Cloud Storage オブジェクトへのアクセスまたはダウンロードはサポートされていません。
データ保護と鍵のガバナンスのクラウド制御
このコントロールでは、CMEK を使用して特定のリソースを暗号化する必要があります。
サポートされているアセットタイプは次のとおりです。
- BigQuery のデータセットとテーブル
- Vertex AI モデル、データセット、特徴ストア、メタデータ ストア
データ削除クラウド コントロール
この制御は、機密データの保持期間を管理します。リソース(BigQuery テーブルなど)を選択し、リソースのいずれかが最大保持期間の制限に違反しているかどうかを検出するデータ削除クラウド制御を適用できます。
サポートされているアセットタイプは次のとおりです。
- BigQuery のデータセットとテーブル
- Vertex AI モデル、データセット、特徴ストア、メタデータ ストア