機密データの保護の概要

機密データの保護は、Google Cloud の内部と外部の機密データを検出、分類、匿名化するのに役立ちます。このページでは、機密データの保護を構成するサービスについて説明します。

機密データの検出

検出サービスを使用すると、組織、フォルダ、プロジェクト全体のデータのプロファイルを生成できます。データ プロファイルには、テーブルに関する指標とメタデータが含まれており、センシティブ データとリスクの高いデータの場所を特定できます。Sensitive Data Protection は、これらの指標をさまざまな詳細レベルで報告します。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。

スキャン構成を使用して、スキャンするリソース、検索する情報のタイプ(infoType)、プロファイリングの頻度、おおびプロファイリングが完了したときに実行するアクションを指定します。

検出サービスの詳細については、データ プロファイルの概要をご覧ください。

機密データの検査

検査サービスでは、個々のリソースを詳細にスキャンして、機密データのインスタンスを見つけることができます。検索する infoType を指定すると、検査サービスによって、その infoType に一致するデータのインスタンスごとにレポートが生成されます。たとえば、Cloud Storage バケット内のクレジット カード番号の件数と各インスタンスの正確な場所がレポートに表示されます。

検査には、次の 2 つの方法があります

  • Google Cloud コンソールまたは機密データ保護の Cloud Data Loss Prevention(DLP API)を使用して、検査またはハイブリッド ジョブを作成します。
  • content.inspect リクエストを DLP API に送信します。

ジョブによる検査

検査とハイブリッド ジョブは、Google Cloud コンソールまたは Cloud Data Loss Prevention API を使用して構成できます。検査とハイブリッド ジョブの結果は Google Cloud に保存されます。

検査またはハイブリッド ジョブが完了したときに機密データ保護で行うアクションを指定できます。たとえば、結果を BigQuery テーブルに保存するジョブや Pub/Sub 通知を送信するジョブを構成できます。

検査ジョブ

機密データの保護は、一部の Google Cloud プロダクトのサポートが組み込まれています。BigQuery テーブル、Cloud Storage バケットまたはフォルダ、Datastore の種類を検査できます。詳細については、Google Cloud Storage とデータベースに含まれる機密データの検査をご覧ください。

ハイブリッド ジョブ

ハイブリッド ジョブを使用すると、任意のソースから送信されたデータのペイロードをスキャンし、検査の検出結果を Google Cloud に保存できます。詳細については、ハイブリッド ジョブとジョブトリガーをご覧ください。

content.inspect リクエストによる検査

DLP API の content.inspect メソッドを使用すると、DLP API にデータを直接送信して検査できます。レスポンスには検査の検出結果が含まれます。同期オペレーションが必要な場合、または検出結果を Google Cloud に保存しない場合は、この方法を使用します。

機密データの匿名化

匿名化サービスにより、機密データのインスタンスを難読化できます。 マスキング、秘匿化、バケット化、日付シフト、トークン化など、さまざまな変換方法を使用できます。

匿名化を行うには、次の 2 つの方法があります。

リスク分析

リスク分析サービスでは、構造化された BigQuery データを分析して、機密情報が漏洩するリスク(再識別)を特定し、可視化できます。

リスク分析の手法を使用して、匿名化を行う前に効果的な匿名化方式を決定したり、匿名化を行った後で変更や異常値をモニタリングしたりできます。

リスク分析を実行するには、リスク分析ジョブを作成します。詳細については、再識別リスクの分析をご覧ください。

Cloud Data Loss Prevention API

Cloud Data Loss Prevention API では、機密データの保護サービスをプログラムで使用できます。DLP API を使用すると、Google Cloud の内部および外部のデータを検査し、クラウドの内部または外部にカスタム ワークロードを構築できます。詳細については、サービス メソッド タイプをご覧ください。

非同期オペレーション

保存データを非同期で検査または分析する場合は、DLP API を使用して DlpJob を作成できます。DlpJob の作成は、Google Cloud コンソールを介して検査ジョブ、ハイブリッド ジョブ、またはリスク分析ジョブを作成することと同じです。DlpJob の結果は Google Cloud に保存されます。

同期オペレーション

同期的にデータを検査、匿名化、再識別する場合は、DLP API のインライン content メソッドを使用します。画像内のデータを匿名化するには、image.redact メソッドを使用します。API リクエストでデータを送信すると、DLP API が検査、匿名化、再識別の結果を返します。content メソッドと image.redact メソッドの結果は Google Cloud に保存されません。

次のステップ