Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名は Cloud Data Loss Prevention API（DLP API）のままです。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

このページは Cloud Translation API によって翻訳されました。

検出アクションを有効にする

このセクションでは、リソースのプロファイリング後に機密データの保護で行うアクションを指定する方法について説明します。これらのアクションは、データプロファイルから収集した分析情報を他のGoogle Cloud サービスに送信する場合に便利です。

検出アクションを有効にするには、検出スキャン構成を作成または編集します。以降のセクションでは、スキャン構成の [アクションを追加] セクションで有効にできるさまざまなアクションについて説明します。

このページのアクションは、すべての検出タイプで利用できるわけではありません。たとえば、別のクラウドプロバイダのリソースの検出を構成している場合、リソースにタグを付加することはできません。詳細については、このページのサポートされているアクションをご覧ください。

センシティブデータの検出の詳細については、データプロファイルをご覧ください。

検査オペレーションとリスク分析オペレーションには、異なる一連のアクションがあります。詳細については、検査またはリスク分析のアクションを有効にするをご覧ください。

Google Security Operations に公開する

データプロファイルから収集された指標によって、Google Security Operations の検出結果にコンテキストが追加されます。コンテキストが追加されることで、最も重要なセキュリティ問題の特定に役立ちます。

たとえば、特定のサービスエージェントを調査する場合、Google Security Operations は、サービスエージェントがアクセスしたリソースと、それらのリソースに機密性の高いデータが含まれているかどうかを判断できます。

データプロファイルを Google Security Operations インスタンスに送信するには、[Google Security Operations にパブリッシュ] をオンにします。

組織で Google Security Operations インスタンスが有効になっていない場合（スタンドアロンプロダクトまたは Security Command Center Enterprise を使用）、このオプションをオンにしても効果はありません。

Security Command Center に公開する

データプロファイルの検出結果は、Security Command Center で脆弱性と脅威の検出結果に対する対応計画に優先順位を付けて開発する際にコンテキストを提供します。

このアクションを使用する前に、Security Command Center を組織レベルで有効にする必要があります。組織レベルで Security Command Center を有効にすると、統合サービス（Sensitive Data Protection など）の検出結果のフローが有効になります。Sensitive Data Protection は、すべてのサービスティアで Security Command Center と連携します。

Security Command Center が組織レベルで有効になっていない場合、機密データの保護の検出結果は Security Command Center に表示されません。詳細については、Security Command Center の有効化レベルを確認するをご覧ください。

データプロファイルの結果を Security Command Center に送信するには、[Security Command Center に公開] オプションがオンになっていることを確認します。

詳細については、Security Command Center にデータプロファイルを公開するをご覧ください。

データプロファイルのコピーを BigQuery に保存する

機密データの保護は、生成された各データプロファイルのコピーを BigQuery テーブルに保存します。優先テーブルの詳細を指定しない場合、機密データの保護はサービスエージェントコンテナにデータセットとテーブルを作成します。デフォルトでは、データセットの名前は sensitive_data_protection_discovery、テーブルの名前は discovery_profiles です。

このアクションを使用すると、生成されたすべてのプロファイルの履歴を保持できます。この履歴は、監査レポートの作成やデータプロファイルの可視化に役立ちます。この情報は他のシステムに読み込むこともできます。

また、このオプションを使用すると、データが存在するリージョンに関係なく、すべてのデータプロファイルを 1 つのビューで表示できます。Google Cloud コンソールでデータプロファイルを表示することもできますが、コンソールには一度に 1 つのリージョンのプロファイルしか表示されません。

Sensitive Data Protection でリソースのプロファイリングに失敗すると、定期的に再試行されます。エクスポートされるデータのノイズを最小限に抑えるため、機密データの保護では正常に生成されたプロファイルのみを BigQuery にエクスポートします。

このオプションを有効にした時点から、機密データの保護はプロファイルのエクスポートを開始します。エクスポートを有効にする前に生成されたプロファイルは、BigQuery に保存されません。

データプロファイルの分析に使用できるクエリの例については、データプロファイルを分析するをご覧ください。

サンプル検出の検出結果を BigQuery に保存する

Sensitive Data Protection では、任意の BigQuery テーブルにサンプル検出結果を追加できます。サンプル検出結果は、すべての検出結果のサブセットを表します。検出されたすべての infoType が表されるとは限りません。通常、システムはリソースごとに約 10 個のサンプル検出結果を生成しますが、この数は検出実行ごとに異なる場合があります。

各検出結果には、検出された実際の文字列（引用とも呼ばれる）とその正確な位置が含まれます。

このアクションは、検査構成が、機密情報としてフラグを設定する情報の種類と正しく一致しているかどうかを評価する場合に便利です。エクスポートしたデータプロファイルとエクスポートしたサンプル結果を使用して、クエリを実行し、フラグが設定された特定のアイテム、一致した infoType、正確な場所、計算された機密性レベルなどの詳細情報を取得できます。

この例では、[データプロファイルのコピーを BigQuery に保存する] と [サンプル検出の検出結果を BigQuery に保存する] の両方が有効になっている必要があります。

次のクエリでは、エクスポートされたデータプロファイルのテーブルとエクスポートされたサンプル結果のテーブルの両方で INNER JOIN オペレーションを使用します。結果の表では、各レコードに検出結果の引用、一致した infoType、検出結果を含むリソース、リソースの計算された機密レベルが表示されます。

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 profiles_table.file_store_profile.file_store_path as bucket_name,
 profiles_table.file_store_profile.sensitivity_score as bucket_sensitivity_score
FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.file_store_profile.name

次のクエリでは、エクスポートされたデータプロファイルのテーブルとエクスポートされたサンプル結果のテーブルの両方で INNER JOIN オペレーションを使用します。結果の表では、各レコードに検出結果の引用、一致した infoType、検出結果を含むリソース、リソースの計算された機密性レベルが表示されます。

SELECT
 findings_table.quote,
 findings_table.infotype.name,
 findings_table.location.container_name,
 findings_table.location.data_profile_finding_record_location.field.name AS field_name,
 profiles_table.table_profile.dataset_project_id AS project_id,
 profiles_table.table_profile.dataset_id AS dataset_id,
 profiles_table.table_profile.table_id AS table_id,
 profiles_table.table_profile.sensitivity_score AS table_sensitivity_score
 FROM
 `FINDINGS_TABLE_PROJECT_ID.FINDINGS_TABLE_DATASET_ID.FINDINGS_TABLE_ID_latest_v1` AS findings_table
INNER JOIN
 `PROFILES_TABLE_PROJECT_ID.PROFILES_TABLE_DATASET_ID.PROFILES_TABLE_ID_latest_v1` AS profiles_table
ON
 findings_table.data_profile_resource_name=profiles_table.table_profile.name

検出結果のサンプルを BigQuery テーブルに保存する手順は次のとおりです。

[サンプル検出の検出結果を BigQuery に保存する] を有効にします。
サンプルの検出結果を保存する BigQuery テーブルの詳細を入力します。

このアクションに指定するテーブルは、[データプロファイルのコピーを BigQuery に保存する] アクションで使用するテーブルとは異なる必要があります。
- [プロジェクト ID] に、検出結果をエクスポートする既存のプロジェクトの ID を入力します。
- [データセット ID] に、プロジェクト内の既存のデータセットの名前を入力します。
- [テーブル ID] に、検出結果を保存する BigQuery テーブルの名前を入力します。このテーブルが存在しない場合は、指定した名前を使用して、機密データの保護によって自動的に作成されます。

BigQuery テーブルに保存されている各検出結果の内容については、DataProfileFinding をご覧ください。

リソースにタグを適用する

[リソースにタグを付ける] をオンにすると、Sensitive Data Protection は、計算された機密レベルに従ってデータを自動的にタグ付けします。このセクションでは、まずデータの機密性に基づいてリソースへの IAM アクセスを制御するのタスクを完了する必要があります。

計算された機密レベルに基づいてリソースに自動的にタグ付けする手順は次のとおりです。

[リソースにタグを付ける] オプションをオンにします。
感度レベル（高、中、低、不明）ごとに、指定された感度レベル用に作成したタグ値のパスを入力します。

機密性レベルをスキップすると、そのレベルのタグは付加されません。
機密レベルのタグが存在する場合にリソースのデータリスクレベルを自動的に下げるには、[リソースにタグが適用された場合、そのプロファイルのデータリスクを「低」に下げる] を選択します。このオプションを使用すると、データセキュリティとプライバシーの状況の改善を測定できます。

重要: このオプションは、プロファイルされたリソースの計算されたデータリスクレベルをオーバーライドします。
次のいずれかまたは両方を選択します。
- 初めてプロファイリングされるリソースにタグを付ける。
- プロファイルの更新時にリソースにタグを付ける。Sensitive Data Protection で後続の検出実行時に機密レベルのタグ値を上書きする場合は、このオプションを選択します。その結果、リソースのデータ機密性レベルが計算されて増減すると、プリンシパルのリソースへのアクセス権が自動的に変更されます。
  
  検出サービスがリソースに付加した機密レベルのタグ値を手動で更新する場合は、このオプションを選択しないでください。このオプションを選択すると、Sensitive Data Protection によって手動更新が上書きされる可能性があります。

Pub/Sub に公開

[Pub/Sub に公開] を有効にすると、プロファイリング結果に基づいて、プログラムによるアクションを実行できます。Pub/Sub 通知を使用して、重大なデータリスクや機密性が高い検出結果を把握し、修正するワークフローを開発できます。

Pub/Sub トピックに通知を送信する手順は次のとおりです。

[Pub/Sub に公開] を有効にします。

オプションのリストが表示されます:各オプションでは、Sensitive Data Protection によって Pub/Sub に通知を送信するイベントが記述されます。
Pub/Sub 通知をトリガーするように設定するイベントを選択します。

[プロファイルが更新されるたびに Pub/Sub 通知を送信する] を選択すると、プロファイルの機密性レベル、データリスクレベル、検出された infoType、一般公開、その他の重要な指標が変更されると、機密データの保護によって通知が送信されます。
選択したイベントごとに、次の手順を行います。
1. トピックの名前を入力します。名前は次の形式にする必要があります。
```
projects/PROJECT_ID/topics/TOPIC_ID
```
  以下を置き換えます。
  - PROJECT_ID: Pub/Sub トピックに関連付けられているプロジェクトの ID。
  - TOPIC_ID: Pub/Sub トピックの ID。
2. 通知にリソースプロファイル全体を含めるか、プロファイリングされたリソースの完全なリソース名のみを含めるかを指定します。
3. 機密データの保護で通知が送信されるようにするために、満たす必要がある最小データのリスクと機密性レベルを設定します。
4. データリスクと機密性条件の一方または両方のみを満たす必要があるかどうかを指定します。たとえば、AND を選択した場合、機密データの保護で通知が送信される前に、データリスクと機密性条件の両方が満たされる必要があります。

注: サービスエージェントには、Pub/Sub トピックに対する公開アクセス権が付与されている必要があります。公開アクセス権を持つロールの例として、Pub/Sub パブリッシャーのロール（roles/pubsub.publisher）があります。サービスエージェントがまだない場合は、機密データの保護により、後で [スキャン構成の作成] ページで作成できます。Pub/Sub トピックの構成または権限に問題がある場合、Sensitive Data Protection は Pub/Sub 通知の送信を最大 2 週間再試行します。2 週間後に通知は破棄されます。

タグとして Data Catalog に送信する

この機能は非推奨です。

このアクションにより、データプロファイルの分析情報に基づいて Dataplex Universal Catalog で Data Catalog タグを作成できます。このアクションは、新規または更新されたプロフィールにのみ適用されます。更新されていない既存のプロファイルは Dataplex Universal Catalog に送信されません。

Data Catalog は、フルマネージドでスケーラブルなメタデータ管理サービスです。このアクションを有効にすると、プロファイリングしたテーブルは、データプロファイルから収集された分析情報に基づいて Data Catalog で自動的にタグ付けされます。その後、Dataplex Universal Catalog を使用して、特定のタグ値を持つテーブルを組織とプロジェクトで検索できます。

データプロファイルを Data Catalog タグとして Dataplex Universal Catalog に送信するには、[タグとして Dataplex に送信] オプションがオンになっていることを確認します。

詳細については、データプロファイルの分析情報に基づいて Data Catalog でテーブルにタグ付けするをご覧ください。

アスペクトとして Dataplex Universal Catalog に送信する

このアクションを使用すると、データプロファイルの分析情報に基づいて、プロファイルされたリソースに Dataplex Universal Catalog のアスペクトを追加できます。このアクションは、新規または更新されたプロフィールにのみ適用されます。更新されていない既存のプロファイルは Dataplex Universal Catalog に送信されません。

このアクションを有効にすると、機密データ保護は、プロファイルする新しいリソースまたは更新されたリソースごとに、Sensitive Data Protection profile アスペクトを Dataplex Universal Catalog エントリにアタッチします。生成されたアスペクトには、データプロファイルから収集された分析情報が含まれています。その後、組織とプロジェクトで特定の Sensitive Data Protection profile アスペクト値を持つエントリを検索できます。

データプロファイルを Dataplex Universal Catalog に送信するには、[アスペクトとして Dataplex Catalog に送信する] オプションがオンになっていることを確認します。

詳細については、データプロファイルの分析情報に基づいて Dataplex Universal Catalog のアスペクトを追加するをご覧ください。

サポートされているアクション

次の表に、各検出タイプでサポートされているアクションを示します。

	Google Security Operations に公開する	Security Command Center に公開する	データプロファイルのコピーを BigQuery に保存する	サンプル検出の検出結果を BigQuery に保存する	リソースにタグを適用する	Pub/Sub に公開	Data Catalog タグとして Dataplex Universal Catalog に送信する（非推奨）	アスペクトとして Dataplex Universal Catalog に送信する
Amazon S3	✓	✓	✓	✓		✓
Azure Blob Storage	✓	✓	✓	✓		✓
BigQuery	✓	✓	✓	✓	✓	✓	✓	✓
Cloud SQL	✓	✓	✓	✓	✓	✓		✓
Cloud Storage	✓	✓	✓	✓	✓	✓
Vertex AI	✓	✓	✓	✓		✓		✓

次のステップ

Google Security Operations でデータプロファイルのコンテキストデータを使用する方法について説明します。
Sensitive Data Protection が Security Command Center で生成できる検出結果について確認する。
BigQuery と Looker Studio でデータプロファイルを分析する方法を学習する。
データの機密性に基づいてリソースへの IAM アクセスを制御する方法を学習する。
データプロファイルに関する Pub/Sub メッセージを受信して解析する方法を確認する。
データプロファイルの分析情報に基づいて Dataplex Universal Catalog のアスペクトを追加する方法を確認する。

検出アクションを有効にする コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Google Security Operations に公開する

Security Command Center に公開する

データ プロファイルのコピーを BigQuery に保存する

サンプル検出の検出結果を BigQuery に保存する

クエリの例: Filestore データ プロファイルに関連する検出結果のサンプルを表示する

クエリの例: テーブル データ プロファイルに関連するサンプル検出結果を表示する