Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名は Cloud Data Loss Prevention API（DLP API）のままです。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

このページは Cloud Translation API によって翻訳されました。

Amazon S3 の機密データの検出

このページでは、Amazon S3 で使用する Sensitive Data Protection の検出について説明します。この機能は、Enterprise ティアで Security Command Center を有効にしたお客様のみご利用いただけます。

Sensitive Data Protection の検出機能を使用すると、S3 に保存されているデータの種類とデータの機密性レベルを確認できます。S3 データをプロファイリングすると、ファイルストアのデータプロファイルが生成されます。このプロファイルには、S3 バケットに関する分析情報とメタデータが含まれます。S3 バケットごとに、ファイルストアのデータプロファイルには次の情報が含まれます。

バケットに保存するファイルの種類（ファイルクラスタに分類）
バケット内のデータの機密レベル
検出された各ファイルクラスタの概要（検出された機密情報の種類を含む）

各ファイルストアデータプロファイルの分析情報とメタデータの一覧については、ファイルストアデータプロファイルをご覧ください。

検出サービスの詳細については、データプロファイルをご覧ください。

ワークフロー

Amazon S3 データのプロファイリングの概要は次のとおりです。

Security Command Center で、Amazon Web Services（AWS）のコネクタを作成します。[Sensitive Data Protection 検出の権限を付与する] チェックボックスがオンになっていることを確認し、手順に沿って、機密データ検出の権限を持つコネクタを構成します。

[機密データの保護の検出に権限を付与する] が選択されていないコネクタがすでにある場合は、既存の AWS コネクタに機密データ検出の権限を付与するをご覧ください。
global リージョンまたは検出スキャン構成と生成されたすべてのデータプロファイルを保存するリージョンに検査テンプレートを作成します。
Amazon S3 の検出スキャン構成を作成する。

機密データの保護は、指定したスケジュールに従ってデータをプロファイリングします。

料金

Amazon S3 データをプロファイリングすると、検出の料金に記載されている Sensitive Data Protection の料金が発生します。また、Sensitive Data Protection が行うリクエストと S3 からインターネットへのデータ転送に対しても料金が発生します。

検出サービスがデータをプロファイリングすると、S3 バケット内のデータのサンプルがスキャンされます。Discovery はヒューリスティクスメソッドを使用して、各バケットと特定のファイル内でサンプリングするデータの量を決定します。このプロセスでは、一部のデータが Google Cloud に転送され、Sensitive Data Protection のコンテンツ検査サービスを使用して検査されます。断続的なエラーがない場合、ほとんどの場合、各バケットで転送およびスキャンされるデータは 30 GB を超えません。各バケットでサンプリングされるデータは 30 GB 未満にできます。

Sensitive Data Protection からのリクエスト

機密データの保護は、S3 バケットのプロファイリングプロセスで次のオペレーションを実行します。

プロファイルされた S3 バケットごとに 1 日あたり約 50 件の LIST リクエスト。
プロファイリングされたバケット内のファイルごとに約 10 件の GET リクエスト。通常、Sensitive Data Protection は 100,000 回未満の GET 呼び出しを行います。コストを最適化する際にこの値に依存しないでください。この値は将来変更される可能性があります。

AWS が 1,000 リクエストごとに請求する料金は、S3 バケットのリージョンによって異なります。詳細については、Amazon S3 の料金に関するドキュメントのリクエストとデータの取得をご覧ください。

S3 からインターネットへのデータ転送

Sensitive Data Protection が S3 データをプロファイリングすると、データは S3 からインターネットに転送されたと見なされます。AWS の料金が発生する場合があります。詳細については、Amazon S3 の料金ドキュメントの Amazon S3 からインターネットへのデータ転送をご覧ください。

計算の例

米国東部（北部）の 10 個の S3 Standard バケットのプロファイルを作成するとします。バージニア）リージョンにログインしていることを確認します。検出オペレーションに直接関連する Amazon の費用は、次のように見積もることができます。

例: リクエストとデータの取得

	バケットあたりの推定リクエスト数	10 バケットのリクエスト数の推定値	Amazon レート	小計
`LIST`	50	500	呼び出し 1,000 回あたり $0.005	0.005
`GET`	28,000	280,000	呼び出し 1,000 回あたり $0.0004	0.112
合計				0.117

例: Amazon S3 からインターネットへのデータ転送

バケットあたりのサンプリングされたデータ	Amazon レート	バケットあたりの料金
最大 30 GB	$0.09/GB	最大 $2.70

データ所在地に関する検討事項

Amazon S3 データをプロファイリングする計画を立てる際は、次の点を考慮してください。

データプロファイルは、検出スキャン構成とともに保存されます。一方、Google Cloud データをプロファイリングする場合、プロファイルはプロファイリング対象のデータと同じリージョンに保存されます。
検査テンプレートを global リージョンに保存する場合、検出スキャン構成を保存するリージョンで、そのテンプレートのインメモリコピーが読み取られます。
S3 データは変更されません。データのインメモリコピーは、検出スキャン構成を保存するリージョンで読み取られます。ただし、機密データの保護では、パブリックインターネットに到達した後のデータの通過場所について保証はされません。データは SSL で暗号化されます。

次のステップ

Amazon S3 データをプロファイリングする