このドキュメントでは、データ セキュリティ ポスチャー管理(DSPM)を有効にして使用する方法について説明します。
DSPM を有効にする
組織レベルで DSPM を有効にするには、次の操作を行います。
-
DSPM を有効にするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
組織管理者 (
roles/resourcemanager.organizationAdmin) -
セキュリティ センター管理者 (
roles/securitycenter.admin)
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
-
組織管理者 (
- 次のいずれかの方法で DSPM を有効にします。
- 組織で Security Command Center を有効にしていない場合は、Security Command Center Enterprise を有効にします。
- Security Command Center の Enterprise サービスティアをすでに有効にしている場合は、[DSPM を有効にする] ページを使用して DSPM を追加します。
- DSPM で保護するリソースの検出を有効にします。
DSPM を有効にすると、次のサービスも有効になります。
- コンプライアンス マネージャーを使用して、データ セキュリティ フレームワークとクラウド制御を作成、適用、管理します。
- Sensitive Data Protection: デフォルトのデータリスク評価にデータ機密性シグナルを使用します。
- 組織レベルの Event Threat Detection(Security Command Center の一部)を使用して、データアクセス ガバナンス クラウド制御とデータフロー ガバナンス クラウド制御を使用する
- AI ワークロードのライフサイクルを保護する AI Protection。
DSPM サービス エージェント(service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)は、DSPM を有効にすると作成されます。
DSPM Identity and Access Management ロールについては、組織レベルのアクティベーションの Identity and Access Management をご覧ください。
DSPM ダッシュボードを使用する
ダッシュボードを使用してデータ セキュリティの状況を分析するには、次の操作を行います。
-
DSPM ダッシュボードを使用するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
データ セキュリティ ポスチャー管理管理者 (
roles/dspm.admin) -
セキュリティ センター管理者 (
roles/securitycenter.admin) -
読み取り専用アクセスの場合:
-
データ セキュリティ ポスチャー管理閲覧者 (
roles/dspm.viewer) -
セキュリティ センター管理閲覧者 (
roles/securitycenter.adminViewer)
-
データ セキュリティ ポスチャー管理閲覧者 (
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
-
データ セキュリティ ポスチャー管理管理者 (
- データ検出とリスク分析には、DSPM ダッシュボードを使用します。DSPM を有効にすると、環境がデータ セキュリティとプライバシーの基本フレームワークにどのように準拠しているかをすぐに評価できます。
コンソールで、[データ保護] の [データ セキュリティとコンプライアンス] タブをクリックします。
次の情報を確認できます。
- データマップ エクスプローラ
- データ セキュリティに関する検出結果
- 適用されたデータ セキュリティ管理とフレームワークに関する分析情報
この情報を使用して、環境がセキュリティとコンプライアンスの要件に沿うように、検出結果を確認して修正します。
Security Command Center を有効にしてから、データマップ エクスプローラに Security Command Center と Cloud Asset Inventory のすべてのデータが入力されるまでに 24 時間ほどかかることがあります。
カスタム データ セキュリティ フレームワークを作成する
必要に応じて、データ セキュリティとプライバシーの基本フレームワークをコピーし、データ セキュリティとコンプライアンスの要件を満たすようにカスタマイズします。手順については、フレームワークを適用するをご覧ください。
高度なデータ セキュリティ クラウド コントロールをデプロイする
必要に応じて、カスタム フレームワークに高度なデータ セキュリティ クラウド コントロールを追加します。これらの制御には追加の構成が必要です。クラウド制御とフレームワークをデプロイする手順については、フレームワークを適用するをご覧ください。
次の点を考慮してください。
制限については、各高度なデータ セキュリティ クラウド制御の情報をご覧ください。
次の表の説明に沿って、各ルールのタスクを完了します。
ルール 追加構成 データアクセス ガバナンス クラウド制御 - Cloud Storage と Vertex AI(環境で該当する場合)のデータアクセス監査ログを有効にします。
データアクセス権限タイプを
DATA_READに設定します。データアクセス ガバナンス クラウド コントロールを適用する場所に応じて、組織レベルまたはプロジェクト レベルでデータアクセス ログを有効にします。承認されたプリンシパルのみが監査ロギングから除外されていることを確認します。監査ロギングから除外されたプリンシパルは、DSPM からも除外されます。
- 次のいずれかの形式を使用して、許可するプリンシパルを 1 つ以上(最大 200 個のプリンシパル)追加します。
- ユーザーの場合:
principal://goog/subject/USER_EMAIL_ADDRESS例:
principal://goog/subject/alex@example.com - グループの場合:
principalSet://goog/group/GROUP_EMAIL_ADDRESS例:
principalSet://goog/group/my-group@example.com
- ユーザーの場合:
データフロー ガバナンス クラウド制御 Cloud Storage と Vertex AI(環境で該当する場合)のデータアクセス監査ログを有効にします。
データアクセス権限タイプを
DATA_READに設定します。データアクセス ガバナンス クラウド コントロールを適用する場所に応じて、組織レベルまたはプロジェクト レベルでデータアクセス ログを有効にします。承認されたプリンシパルのみが監査ロギングから除外されていることを確認します。監査ロギングから除外されたプリンシパルは、DSPM からも除外されます。
- Unicode 共通ロケール データ リポジトリ(CLDR)で定義されている国コードを使用して、許可する国を指定します。
データ保護と主要なガバナンス クラウド制御 BigQuery と Vertex AI で CMEK を有効にします。 データ削除クラウド コントロール 保持期間を設定します。たとえば、90 日間の保持期間を秒単位で設定するには、保持期間を 777600に設定します。- Cloud Storage と Vertex AI(環境で該当する場合)のデータアクセス監査ログを有効にします。
次のステップ
- データ セキュリティに関連する検出結果を確認します。