機密データの保護は、Google Cloud の内部と外部の機密データを検出、分類、匿名化するのに役立ちます。このページでは、機密データの保護を構成するサービスについて説明します。
機密データの検出
検出サービスを使用すると、組織、フォルダ、プロジェクト全体のデータのプロファイルを生成できます。データ プロファイルには、テーブルに関する指標とメタデータが含まれており、センシティブ データとリスクの高いデータの場所を特定できます。Sensitive Data Protection は、これらの指標をさまざまな詳細レベルで報告します。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。
スキャン構成を使用して、スキャンするリソース、検索する情報のタイプ(infoType)、プロファイリングの頻度、おおびプロファイリングが完了したときに実行するアクションを指定します。
検出サービスの詳細については、データ プロファイルの概要をご覧ください。
機密データの検査
検査サービスでは、個々のリソースを詳細にスキャンして、機密データのインスタンスを見つけることができます。検索する infoType を指定すると、検査サービスによって、その infoType に一致するデータのインスタンスごとにレポートが生成されます。たとえば、Cloud Storage バケット内のクレジット カード番号の件数と各インスタンスの正確な場所がレポートに表示されます。
検査には、次の 2 つの方法があります
- Google Cloud コンソールまたは機密データ保護の Cloud Data Loss Prevention(DLP API)を使用して、検査またはハイブリッド ジョブを作成します。
content.inspect
リクエストを DLP API に送信します。
ジョブによる検査
検査とハイブリッド ジョブは、Google Cloud コンソールまたは Cloud Data Loss Prevention API を使用して構成できます。検査とハイブリッド ジョブの結果は Google Cloud に保存されます。
検査またはハイブリッド ジョブが完了したときに機密データ保護で行うアクションを指定できます。たとえば、結果を BigQuery テーブルに保存するジョブや Pub/Sub 通知を送信するジョブを構成できます。
検査ジョブ
機密データの保護は、一部の Google Cloud プロダクトのサポートが組み込まれています。BigQuery テーブル、Cloud Storage バケットまたはフォルダ、Datastore の種類を検査できます。詳細については、Google Cloud Storage とデータベースに含まれる機密データの検査をご覧ください。
ハイブリッド ジョブ
ハイブリッド ジョブを使用すると、任意のソースから送信されたデータのペイロードをスキャンし、検査の検出結果を Google Cloud に保存できます。詳細については、ハイブリッド ジョブとジョブトリガーをご覧ください。
content.inspect
リクエストによる検査
DLP API の content.inspect
メソッドを使用すると、DLP API にデータを直接送信して検査できます。レスポンスには検査の検出結果が含まれます。同期オペレーションが必要な場合、または検出結果を Google Cloud に保存しない場合は、この方法を使用します。
機密データの匿名化
匿名化サービスにより、機密データのインスタンスを難読化できます。 マスキング、秘匿化、バケット化、日付シフト、トークン化など、さまざまな変換方法を使用できます。
匿名化を行うには、次の 2 つの方法があります。
- 検査ジョブを使用して、Cloud Storage データの匿名化されたコピーを作成します。詳しくは、ストレージ内の機密データの匿名化をご覧ください。
content.deidentify
リクエストを DLP API に送信します。詳しくは、機密データの匿名化をご覧ください。
リスク分析
リスク分析サービスでは、構造化された BigQuery データを分析して、機密情報が漏洩するリスク(再識別)を特定し、可視化できます。
リスク分析の手法を使用して、匿名化を行う前に効果的な匿名化方式を決定したり、匿名化を行った後で変更や異常値をモニタリングしたりできます。
リスク分析を実行するには、リスク分析ジョブを作成します。詳細については、再識別リスクの分析をご覧ください。
Cloud Data Loss Prevention API
Cloud Data Loss Prevention API では、機密データの保護サービスをプログラムで使用できます。DLP API を使用すると、Google Cloud の内部および外部のデータを検査し、クラウドの内部または外部にカスタム ワークロードを構築できます。詳細については、サービス メソッド タイプをご覧ください。
非同期オペレーション
保存データを非同期で検査または分析する場合は、DLP API を使用して DlpJob
を作成できます。DlpJob
の作成は、Google Cloud コンソールを介して検査ジョブ、ハイブリッド ジョブ、またはリスク分析ジョブを作成することと同じです。DlpJob
の結果は Google Cloud に保存されます。
同期オペレーション
同期的にデータを検査、匿名化、再識別する場合は、DLP API のインライン content
メソッドを使用します。画像内のデータを匿名化するには、image.redact
メソッドを使用します。API リクエストでデータを送信すると、DLP API が検査、匿名化、再識別の結果を返します。content
メソッドと image.redact
メソッドの結果は Google Cloud に保存されません。
次のステップ
- プロジェクトのデータをプロファイリングする方法を学習する。
- 検査を開始またはスケジュールする方法を学習する。
- ハイブリッド ジョブを使用して外部ソースのデータを検査する方法を学習する。
- Cloud Storage に保存されているデータの匿名化されたコピーを作成する方法を学習する。
- データセットの k-匿名性を計算する方法を学習する。
- DLP API を使用してデータを匿名化および再識別する方法を学習する。