テックブログ

Cloud Data Loss Prevention (DLP) とは、機密情報を含むデータを検出し、自動的に分類、保護、削除することができます。この記事では、DLPを使ったユースケースとして、Cloud Storage バケット内の機密情報を含むファイルを別バケットにマスキングしてファイルをコピーする方法について説明します。

マスキングとは、データを見えなくすることで、その情報を保護する技術です。例えば、クレジットカードの番号を部分的にマスキングすることで、その情報を安全に使用することができます。

1. サポートファイル形式
   • CSV
   • 画像
   • テキスト
   • TSV
2. 機密情報の検出タイプを選べる
   • 例えば、名前はマスキングしないで電話番号だけマスキングする
3. 検出レベルを設定できる
   • 検出レベルを５段階で設定できる
   • 検出レベルが低いと機密情報の検出漏れが少ないが、検出を間違えやすい
   • 検出レベルが高いと機密情報の検出を間違えにくいが、検出漏れしやすい
4. 検出した内容や統計情報をBQにアップロードできる
   • どのくらい機密情報を扱っているかをモニタリングすることができる

機密情報が含まれたファイルを含むバケットAからファイルをマスキングしてバケットBにファイルをコピーします。また、IAMでアナリストにはバケットAはアクセスさせないで、バケットBにアクセスできるように設定することで、機密情報に対して直接アクセスできないようにすることができます。

DLPを使用してデータをマスキングする手順について説明します。

1. DLPのテンプレートを作成する

   DLPテンプレートは、マスキングするためのルールを設定するために使用されます。このテンプレートには、検出された機密情報の種類、機密情報のマスキング方法、機密情報の置換値などが含まれます。テンプレートは、構造化および非構造化データの両方に使用することができます。

   ここから、DLPテンプレートを作成できます。

   

2. DLPの検査ジョブトリガーを設定する

   DLPの検査ジョブトリガーは、DLPの検査ジョブをトリガーするために使用されます。トリガーは、手動で実行することも、スケジュール実行することもできます。また、トリガーには検査ジョブの設定が含まれます。検査ジョブの設定には、検出する機密情報の種類、検出レベル、検査するファイルの場所などが含まれます。

   ここから、ジョブトリガーを作成できます。

   

3. DLPの検査ジョブを作成する

   DLPの検査ジョブは、トリガーによって実行されます。検査ジョブは、Cloud Storageに保存されているファイルを検査し、検出された機密情報を特定します。検出された機密情報は、DLPテンプレートを使用してマスキングされた新しいファイルがCloud Storageに保存されます。検査ジョブの結果は、DLPコンソールで確認できます。結果には、検出された機密情報の種類、検出レベル、マスキングされた情報などが含まれます。

Google Cloud コンソールを使用して、Cloud Storage に保存されているデータの匿名化されたコピーを作成する | 機密データの保護のドキュメント

Cloud コンソールの機密データの保護を使用して Cloud Storage 内の機密コンテンツを匿名化する

https://cloud.google.com

Google のスキルブーストでハンズオンで学ぶ

Creating a De-identified Copy of Data in Cloud Storage | Google Cloud Skills Boost

In this lab, you create and run a Sensitive Data Protection job using the De-identify (DeID) Findings Action to create a redacted and de-identified copy data in Cloud Storage.

https://www.cloudskillsboost.google