機密データの保護は、Google Cloud の内部と外部の機密データを検出、分類、匿名化するのに役立ちます。このページでは、機密データの保護を構成するサービスについて説明します。
機密データの検出
検出サービスを使用すると、組織、フォルダ、プロジェクト全体のデータのプロファイルを生成できます。データ プロファイルには、データアセットに関する指標とメタデータが含まれており、機密データとリスクの高いデータの場所を特定できます。Sensitive Data Protection は、これらの指標をさまざまな詳細レベルで報告します。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。
スキャン構成を使用して、スキャンするリソース、検索する情報のタイプ(infoType)、プロファイリングの頻度、おおびプロファイリングが完了したときに実行するアクションを指定します。
検出サービスの詳細については、データ プロファイルの概要をご覧ください。
機密データの検査
検査サービスを使用すると、個々のリソースを詳細にスキャンして、機密データのインスタンスを検出できます。検索する infoType を指定すると、検査サービスはその infoType に一致するデータのすべてのインスタンスに関するレポートを生成します。たとえば、Cloud Storage バケット内のクレジット カード番号の件数と各インスタンスの正確な場所がレポートに表示されます。
検査には、次の 2 つの方法があります
- Google Cloud コンソールまたは機密データ保護の Cloud Data Loss Prevention(DLP API)を使用して、検査またはハイブリッド ジョブを作成します。
- DLP API に
content.inspectリクエストを送信します。
ジョブによる検査
検査とハイブリッド ジョブは、Google Cloud コンソールまたは Cloud Data Loss Prevention API を使用して構成できます。検査ジョブとハイブリッド ジョブの結果は Google Cloud に保存されます。
検査ジョブまたはハイブリッド ジョブの完了後に機密データの保護で行うアクションを指定できます。たとえば、検出結果を BigQuery テーブルに保存したり、Pub/Sub 通知を送信したりするようにジョブを構成できます。
検査ジョブ
Sensitive Data Protection には、一部の Google Cloud プロダクトのサポートが組み込まれています。BigQuery テーブル、Cloud Storage バケットまたはフォルダ、Datastore の種類を検査できます。詳細については、Google Cloud のストレージとデータベースに含まれる機密データの検査をご覧ください。
ハイブリッド ジョブ
ハイブリッド ジョブを使用すると、任意のソースから送信されたデータのペイロードをスキャンし、検査の検出結果を Google Cloud に保存できます。詳細については、ハイブリッド ジョブとジョブトリガーをご覧ください。
content.inspect リクエストによる検査
DLP API の content.inspect メソッドを使用すると、検査のためにデータを DLP API に直接送信できます。レスポンスには検査の検出結果が含まれます。同期オペレーションが必要な場合、または検出結果を Google Cloud に保存しない場合は、この方法を使用します。
機密データの匿名化
匿名化サービスにより、機密データのインスタンスを難読化できます。 マスキング、削除、バケット化、日付シフト、トークン化など、さまざまな変換方法を使用できます。
匿名化には次の 2 つの方法があります。
- 検査ジョブを使用して、Cloud Storage データの匿名化されたコピーを作成します。詳しくは、ストレージ内の機密データの匿名化をご覧ください。
- DLP API に
content.deidentifyリクエストを送信します。詳細については、機密データの匿名化をご覧ください。
リスク分析
リスク分析サービスを使用すると、構造化された BigQuery データを分析して、機密情報が漏洩する(再識別される)リスクを特定して可視化できます。
リスク分析の手法を使用して、匿名化を行う前に効果的な匿名化方式を決定したり、匿名化を行った後で変更や異常値をモニタリングしたりできます。
リスク分析ジョブを作成して、リスク分析を実行します。詳細については、再識別リスク分析をご覧ください。
Cloud Data Loss Prevention API
Cloud Data Loss Prevention API では、機密データの保護サービスをプログラムで使用できます。DLP API を使用すると、Google Cloud の内部および外部のデータを検査し、クラウドの内部または外部にカスタム ワークロードを構築できます。詳細については、サービス メソッドのタイプをご覧ください。
非同期オペレーション
非同期で保存データの検査または分析を行う場合は、DLP API を使用して DlpJob を作成できます。DlpJob の作成は、Google Cloud コンソールから検査ジョブ、ハイブリッド ジョブ、リスク分析ジョブを作成することと同様です。DlpJob の結果は Google Cloud に保存されます。
同期オペレーション
データを同期的に検査、匿名化、再識別する場合は、DLP API の content インライン メソッドを使用します。画像内のデータの匿名化を行うには、image.redact メソッドを使用します。API リクエストでデータを送信すると、DLP API から検査結果、匿名化結果、再識別結果が返されます。content メソッドと image.redact メソッドの結果は Google Cloud に保存されません。
次のステップ
- プロジェクトのデータをプロファイリングする方法を学習する。
- 検査を開始またはスケジュールする方法を学習する。
- ハイブリッド ジョブを使用して外部ソースのデータを検査する方法を確認する。
- Cloud Storage に保存されているデータの匿名化されたコピーを作成する方法を学習する。
- データセットの k-匿名性を計算する方法を学びます。
- DLP API を使用してデータを匿名化および再識別する方法を学習する。