メソッドタイプ

Sensitive Data Protection には、データの検査、変換（匿名化）、検出、分類に使用できる、さまざまなタイプのメソッドが含まれています。このようなメソッドを使用して、 Google Cloud の内外でデータをスキャンし、さまざまなタイプのワークロードに対して Sensitive Data Protection の動作を最適化できます。

機密データの保護には次のメソッドタイプがあります。

• コンテンツ メソッド
• ストレージ メソッド
• ハイブリッド メソッド
• 検出方法

検査と匿名化の方法

このセクションでは、検査構成に記載されている情報タイプに一致する各データを特定し、必要に応じて匿名化するために使用できる方法について説明します。

コンテンツ メソッド

コンテンツ メソッドは同期型のステートレス メソッドです。検査または変換されるデータは、リクエストで直接 DLP API に送信されます。機密データの保護の検査結果や変換されたデータは、API レスポンスで返されます。リクエスト データは暗号化されて転送され、保存されません。

詳細については、コンテンツ メソッドの REST API リファレンスをご覧ください。

• content.inspect
• content.deidentify
• content.reidentify
• image.redact

ストレージ メソッド

ストレージ メソッドは、Cloud Storage、BigQuery、Datastore モードの Firestore（Datastore）などのシステムで Google Cloud に保存されたデータを検査するように設計されています。ストレージ検査を有効にするには、dlpJobs リソースを使用して機密データの保護ジョブを作成します。各ジョブはマネージド サービスとして実行され、データを検査してから、結果の保存や公開などの機密データの保護アクションを実行します。これらのオプションのアクションに加えて、機密データの保護は、ジョブのステータス、スキャンしたバイト数、infoType ごとの検出結果の概要など、ジョブの詳細を作成して保存します。Google Cloud コンソールの DLP API または機密データの保護を使用してジョブを管理できます。

詳細については、projects.dlpJobs リソースの REST API リファレンスをご覧ください。ストレージの詳細は、StorageConfig オブジェクトで指定します。

ハイブリッド メソッド

ハイブリッド メソッドは、実質すべてのソースから送信されたデータのペイロードをスキャンし、その結果を Google Cloudに保存できるようにする一連の非同期 API メソッドです。ハイブリッド メソッドは、コンテンツ メソッドと似ていますが、検査対象のデータが 1 つ以上の検査リクエストに含まれている点が異なります。ただし、コンテンツ メソッドと異なり、ハイブリッド メソッドは API レスポンスで検査結果を返しません。代わりに、検査結果はサーバー側で非同期的に処理され、結果が表にまとめられ、ストレージ メソッドに似た方法で保存されます。

ハイブリッド検査を有効にするには、dlpJobs リソースを使用して機密データの保護ジョブを作成します。各ハイブリッド ジョブは、検査リクエストをリッスンし、検出結果の保存や公開などの機密データの保護アクションを実行するマネージド サービスとして実行されます。これらのオプションのアクションに加えて、機密データの保護は、ジョブのステータス、スキャンしたバイト数、infoType ごとの検出結果の概要など、ジョブの詳細を作成して保存します。Google Cloud コンソールの DLP API または機密データの保護を使用してジョブを管理できます。

詳細については、projects.dlpJobs リソースの REST API リファレンスをご覧ください。データソースは、StorageConfig オブジェクトの hybridOptions フィールドで指定します。

検出方法

検出メソッドを使用すると、機密データの検出を構成してデータ プロファイルを生成できます。データ プロファイルは、組織内の機密データの保存場所、保存している機密データの種類、そのデータにアクセス制御が設定されているかどうかを判断するのに役立つ分析情報を提供します。

検出を構成して、BigQuery、Cloud SQL、Cloud Storage、Vertex AI などのシステムに保存されているデータをスキャンできます。 Google Cloud Security Command Center Enterprise が有効になっている場合は、Sensitive Data Protection を使用して他のクラウド プロバイダのデータをスキャンすることもできます。

検出スキャンごとに機密データの保護で実行するアクションを指定できます。たとえば、スキャン結果を Security Command Center や Google Security Operations などの他のGoogle Cloud サービスに送信して、組織のデータ セキュリティ体制の可視性を高めることができます。プロファイリングされたリソースにタグを付けて、それらのリソースに対する IAM アクセスを自動的に許可または拒否するように、検出サービスを構成できます。データ プロファイルを BigQuery にエクスポートすることもできます。エクスポートしたプロファイルを Looker に接続して、事前作成されたレポートを表示できます。独自のカスタムクエリとレポートを作成することもできます。

検出を有効にするには、DiscoveryConfig リソースを作成します。検出は、検出構成で設定したスコープと頻度に基づいて実行されます。Sensitive Data Protection が生成されたプロファイルを保存する場所については、データ所在地に関する検討事項をご覧ください。

検出構成、データ プロファイル、Cloud SQL 接続は、DLP API または Google Cloud コンソールを使用して管理できます。

詳細については、次の REST API リファレンスをご覧ください。

• 検出の構成

  • organizations.locations.discoveryConfigs
  • projects.locations.discoveryConfigs

• 接続

  接続は、Cloud SQL の検出にのみ関連します。

  • organizations.locations.connections
  • projects.locations.connections

• データ プロファイル

  • organizations.locations.projectDataProfiles
  • projects.locations.projectDataProfiles
  • organizations.locations.fileStoreDataProfiles
  • projects.locations.fileStoreDataProfiles
  • organizations.locations.tableDataProfiles
  • projects.locations.tableDataProfiles
  • organizations.locations.columnDataProfiles
  • projects.locations.columnDataProfiles

次のステップ

• 入門ガイドを読み、テキストや画像に含まれるセンシティブ データの検査と、テキストや画像からのセンシティブ データの削除を開始する。
  • テキストに含まれるセンシティブ データの検査
  • 構造化テキストに含まれるセンシティブ データの検査
  • 画像に含まれるセンシティブ データの検査
  • 画像からのセンシティブ データの削除
  • センシティブ データの匿名化
• ストレージの検査とアクションの使用方法の詳細について、ストレージとデータベースに保存されているセンシティブ データの検査を確認する。
• センシティブ データの検出の詳細については、データ プロファイルをご覧ください。
• 料金を確認します。