GSP1282

概要

Sensitive Data Protection は、機密情報を検出、分類、保護できるようにするためのフルマネージド サービスです。主なオプションには、機密データを継続的にプロファイリングする機密データの検出、秘匿化を含む機密データの匿名化、カスタム ワークロードやアプリケーションに検出、検査、匿名化を組み込むことができる Cloud Data Loss Prevention（DLP）API などがあります。

Google Cloud の Identity and Access Management（IAM）とともに Sensitive Data Protection を活用することで、検出スキャン中に機密データに自動でタグ付けし、組織内のユーザーに BigQuery データへの条件付きアクセス権を付与できます。これにより、BigQuery の機密データを保護できます。

このラボでは、まず一時停止モードで BigQuery の検出スキャン構成を作成します。次に、BigQuery で機密データをフラグ付けするためのタグを作成し、作成したタグを自動スキャンに使用するよう検出スキャン構成を更新します。最後に、作成したタグを使用して、追加のユーザーに BigQuery データへの条件付きアクセス権を付与します。

学習内容

このラボでは、次の方法について学びます。

• 一時停止モードで BigQuery の検出スキャン構成を作成する。
• 検出スキャン中に自動タグ付けを行うためのタグを作成し、ロールを付与する。
• 作成したタグを自動タグ付けに使用するよう一時停止した検出スキャンを更新し、スキャンを開始する。
• タグを使用して BigQuery データへの条件付きアクセス権を付与する。

設定と要件

[ラボを開始] ボタンをクリックする前に

こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。

このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モード（推奨）またはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生しないようにすることができます。

• ラボを完了するための時間（開始後は一時停止できません）

注: このラボでは、受講者アカウントのみを使用してください。別の Google Cloud アカウントを使用すると、そのアカウントに料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるダイアログでお支払い方法を選択してください。 左側の [ラボの詳細] ペインには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースがスピンアップし、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] ペインでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] ペインでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスにアクセスするには、ナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

タスク 1. 一時停止モードで BigQuery の検出スキャン構成を作成する

Sensitive Data Protection の検出サービスを使用すると、組織全体で機密データやリスクの高いデータが存在する場所を特定できます。検出スキャン構成を作成すると、Sensitive Data Protection によって、レビュー対象として選択したリソースがスキャンされ、データ プロファイルが生成されます。データ プロファイルは、特定された infoType（機密データのタイプ）に関する分析情報と、データリスクおよび機密性レベルに関するメタデータのセットです。

このタスクでは、BigQuery のデータを自動的にプロファイリングするための検出スキャンを作成します。完全な検出結果が生成されるまでには時間がかかるため、このラボの最後のタスクで、主な結果のハイライトと概要が提供されます。

1. Google Cloud コンソールで、ナビゲーション メニュー（）> [セキュリティ] をクリックします。

2. [データ保護] で [Sensitive Data Protection] をクリックします。

3. [検出] というタブをクリックします。

4. [BigQuery] で [有効にする] をクリックします。

5. [検出タイプの選択] で、[BigQuery] のオプションを有効にしたまま、[続行] をクリックします。

6. [スコープの選択] で、[選択したプロジェクトをスキャン] のオプションを有効にしたまま、[続行] をクリックします。

7. [スケジュールの管理] はデフォルトのままにして、[続行] をクリックします。

   このラボでは作成直後に検出スキャンを実行するようスケジュールを設定しますが、定期的に（毎日または毎週など）実行する、特定のイベント（検査テンプレートが更新されたときなど）の後に実行するなど、スキャンのスケジュール オプションは多数用意されています。

8. [検査テンプレートの選択] で、[新しい検査テンプレートを作成] オプションを有効にしたままにします。

9. その他はすべてデフォルトのままにして、[続行] をクリックします。

   デフォルトでは、新しい検査テンプレートには既存のすべての infoType が含まれます。

   [信頼度のしきい値] の [最小の可能性] のデフォルトは [可能性あり] です。つまり、[可能性あり]、[高い]、[かなり高い] と評価された結果のみが得られます。

   後のタスクで、この検査テンプレートを変更して、infoType と信頼度のしきい値の他のオプションを試します。

10. [アクションを追加] で、[Security Command Center に公開] を有効にします。

11. [アクションを追加] で、[データ プロファイルのコピーを BigQuery に保存する] も有効にして、BigQuery に結果を保存するデータセットとテーブル（このラボで事前に作成済み）を指定します。

プロパティ	値
プロジェクト ID
データセット ID	bq_discovery
テーブル ID	data_profiles

リソースにタグを付けるアクションの下に表示されるメッセージに注意してください。自動タグ付けを行うには、サービス エージェントに特定のロールが必要であることが示されています。

次のタスクでは、検出スキャン中に自動でタグ付けを行うために、タグを作成し、必要なロールをサービス アカウントに付与します。

12. その他はすべてデフォルトのままにして、[続行] をクリックします。

13. [構成の保存ロケーションを設定する] で、[US（米国の複数のリージョン）] のオプションを有効にしたまま、[続行] をクリックします。

14. この構成の表示名を「BigQuery 検出」に指定します。

15. [一時停止モードでスキャンを作成する] を有効にします。

これにより、検出スキャン構成が作成されますが、スキャンはまだ開始されません。これは、検出スキャンのためにタグを作成し、サービス エージェント ID に適切な IAM ロールを付与できるようにするためです。

16. [作成] をクリックし、[構成を作成] をクリックして作成を確定します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 BigQuery の検出スキャン構成を作成する

タスク 2. 検出スキャン中に自動タグ付けを行うためのタグを作成し、ロールを付与する

IAM 内で機密レベルタグを作成できます。機密レベルタグを使用して、検出スキャン中にリソースに自動でタグ付けし、タグ付けされた特定のリソースへのアクセスを許可または拒否できます。

このタスクでは、4 つの機密レベル（低、中、高、不明）を表すタグ値を持つ機密レベルタグを IAM で作成します。

IAM で機密レベルタグを作成する

1. Google Cloud コンソールで、ナビゲーション メニュー（）> [IAM と管理] > [タグ] をクリックします。

2. [+ 作成] をクリックします。

3. [タグキー] に、タグの表示名として「sensitivity-level」と入力します。

4. [タグの説明] に、このタグの説明として「Sensitivity level tagged as low, moderate, high, and unknown」と入力します。

5. [+ 値を追加] をクリックします。

6. [タグ値] に、最初のタグ値の表示名として「low」と入力します。

7. [タグ値の説明] に、このタグ値の説明として「Tag value to attach to low-sensitivity data」と入力します。

8. 手順 5～7 を繰り返して、さらに 3 つのタグ値を作成します。

タグ値	タグの説明
moderate	Tag value to attach to moderate-sensitivity data
high	Tag value to attach to high-sensitivity data
unknown	Tag value to attach to resources with an unknown sensitivity level

9. [タグキーを作成] をクリックします。

タグキーが作成されるまで 1 分ほどかかることがあります。

10. タグキーが作成されたら、タグキー名をクリックして詳細を表示します。

タグキーには、タグキーのパス（/sensitivity-level）とタグ値 high、low、moderate、unknown があります。

タグキーのパスとタグ値を組み合わせることで、タグ値のパスが得られます。これは次のタスクで使用します。例:

• /sensitivity-level/high

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 IAM で機密レベルタグを作成する

IAM を使用して、検出スキャン用のサービス アカウントにロールを付与する

リソースに自動的にタグを付けるには、サービス エージェントに resourcemanager.tagUser ロールが必要です。このセクションでは、データの機密性に基づいて IAM アクセスを制御するというドキュメントに記載されている手順に沿って、このロールを付与します。

1. Google Cloud コンソールの上部にある「Cloud Shell をアクティブにする」アイコン をクリックします。

プロンプトが表示されたら、[続行] をクリックします。

2. 次のコマンドを実行して、現在のプロジェクトのプロジェクト番号の変数を作成します。

export PROJECT_NUMBER=$(gcloud projects describe {{{project_0.project_id | Project ID}}} --format="get(projectNumber)")

プロンプトが表示されたら、[承認] をクリックします。

3. 次のコマンドを実行して、検出スキャン用のサービス アカウントにタグユーザーのロールを付与します。

gcloud projects add-iam-policy-binding {{{project_0.project_id | Project ID}}} --member=serviceAccount:service-$PROJECT_NUMBER@dlp-api.iam.gserviceaccount.com --role=roles/resourcemanager.tagUser

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 IAM を使用して、検出スキャン用のサービス アカウントにロールを付与する

タスク 3. 自動タグ付けが行われるよう一時停止した検出スキャンを更新し、スキャンを開始する

自動タグ付けに必要なロールをサービス アカウントに付与したので、検出スキャンでリソースにタグ付けするオプションを有効にできます。

タグ値を追加して、検出スキャンを開始する

1. Sensitive Data Protection の概要ページに戻ります。

2. [検出] > [スキャン構成] タブで、「BigQuery 検出」という名前の行を見つけます。該当する行の [アクションを表示] アイコン（縦に 3 つ並んだ点）をクリックし、[編集] を選択します。

3. [アクションを追加] で、[リソースにタグを付ける] と、次の関連オプションを有効にします。

プロパティ	値
機密性が高いリソースにタグを付ける	タグを有効にして、タグ値 /sensitivity-level/high を指定する
機密性が中程度のリソースにタグを付ける	タグを有効にして、タグ値 /sensitivity-level/moderate を指定する
機密性が低いリソースにタグを付ける	タグを有効にして、タグ値 /sensitivity-level/low を指定する
機密性が不明なリソースにタグを付ける	タグを有効にして、タグ値 /sensitivity-level/unknown を指定する

4. また、次の 2 つのオプションを有効にします。

   • リソースにタグを適用する場合、そのプロファイルのデータリスクを「低」に下げる。
   • 初めてプロファイリングされるリソースにタグを付ける。

5. [保存] をクリックし、[編集を確定] をクリックします。

6. 最後に、[スキャンを再開] をクリックして検出スキャンを開始します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 自動タグ付けが行われるよう一時停止した検出スキャンを更新し、スキャンを開始する

検出結果からデータについてわかること

注: 構成スキャンの開始後、完全な結果が利用可能になるまでには時間がかかる場合があります。

以下の画像は、このラボ環境で BigQuery の検出を有効にした場合に得られる主な結果を示しています。

結果では、このラボ環境に含まれる BigQuery データには、非常に機密性の高いデータである米国社会保障番号など、複数の infoType が存在する可能性があることが示されています。

画像 1. UI で BigQuery の検出が有効になっている

BigQuery では、3 つのプロファイルが特定されました。機密性の低いプロファイルが 2 つ（1 つは検出結果のデータセット、もう 1 つは損傷した車の画像メタデータのデータセット）、機密性の高いプロファイルが 1 つ（車の購入者に関する詳細を含むデータセット）です。

画像 2. センシティブ データのインベントリ詳細

結果のこのセクションには、3 つのデータ プロファイルのグローバル ロケーションが示されています。この例では、どれも us-central1 リージョンにあります。

画像 3. infoType を含む BigQuery のプロファイル

検出結果には、BigQuery で特定された主要な infoType（米国社会保障番号、メールアドレス、名前など）も含まれています。

画像 4. 検出結果の [プロファイル] タブ

[プロファイル] タブでは、BigQuery データセット名ごとに機密レベルとリスクレベルが特定されます。機密性が低いものが 1 つ（ジョブからの出力を受け取る空のバケット）、機密性が高いものが 1 つ（米国社会保障番号を含む元データが格納されたバケット）です。

このラボ環境では、プロファイルを表示するために、[ロケーション タイプ] で [リージョン] > [] を選択してください。

タスク 4. タグを使用して BigQuery の条件付きアクセス権を調べる

IAM では、条件付きロール バインディングを使用して、特定のリソースにアタッチされた機密レベルタグに基づき、ユーザーにロールを付与できます。たとえば、機密性が低いとタグ付けされた BigQuery データのみへのアクセス権をユーザーに付与できます。ユーザーは、タグなしの BigQuery を含め、タグがアタッチされていない BigQuery にはアクセスできなくなります。

このタスクでは、まず、このラボ環境でユーザー名 2 に付与されている既存の BigQuery アクセス権を確認します。次に、ユーザー名 2 のアクセス権を、機密性が低いデータのタグに基づく条件付きに更新し、そのタグを BigQuery データセットの 1 つに手動で割り当てます。最後に、ユーザー名 2 の更新された BigQuery アクセス権をテストして、条件付きアクセス権を確認します。

ユーザー名 2 として現在の BigQuery アクセス権をテストする

このセクションでは、まずユーザー名 2（）として Google Cloud プロジェクトにログインします。新しいユーザーに切り替える方法については、以下のヒントを開いてください。

完全なソリューション（開くとすべての手順が確認できます）

ユーザー名 2 として、次の手順に沿って、ユーザー名 2 に付与されている既存の BigQuery アクセス権を確認します。

1. Google Cloud コンソールで、ナビゲーション メニュー（）> [BigQuery] をクリックします。

2. [エクスプローラ] パネルで、プロジェクト ID（）の横にある矢印を開き、BigQuery データセットのリストを表示します。

   次の 4 つの BigQuery データセットが表示されます。

   • bq_discovery: 検出スキャンによって生成されたプロファイルを保存するために使用される
   • bq_inspection: 検査によって生成された結果を保存するために使用される
   • car_buyers: 米国社会保障番号など、車の購入者に関する機密データが含まれている
   • damaged_car_image_info: 損傷した車に関する非機密データが含まれている

ユーザー名 2 の IAM ロールを更新する

このセクションでは、まずユーザー名 1（）として Google Cloud プロジェクトに再度ログインします。新しいユーザーに切り替える方法については、以下のヒントを開いてください。

完全なソリューション（開くとすべての手順が確認できます）

1. Google Cloud コンソールで、ナビゲーション メニュー（）> [IAM と管理] > [IAM] をクリックします。

2. ユーザー名 2（）の行を見つけ、[プリンシパルを編集]（鉛筆アイコン）をクリックします。

3. 「閲覧者」という名前のロールの行を見つけ、[ロールを削除]（ゴミ箱アイコン）をクリックします。

4. [別のロールを追加] をクリックします。

5. [ロールを選択] で、[基本] > [ブラウザ] を選択します。

6. 「BigQuery データ閲覧者」という名前のロールの行を見つけ、[IAM の条件を追加] をクリックします。

7. [タイトル] に「Low Sensitivity Data Access Only」と入力します。

8. [条件作成ツール] で、[条件タイプ 1] に [タグ] を選択し、[演算子] に [値がある] を選択します。

9. [値のパス] に、タスク 3 で使用した機密性が低いリソースのタグ値を指定します。

タグ値を忘れた場合は、ヒントを開いて確認してください。

10. [保存] をクリックし、もう一度 [保存] をクリックします。

BigQuery データセットに機密性「低」のタグを追加する

このセクションでは、ユーザー名 1（）としてログインしたままにしてください。

検出スキャンが完全に完了するまでには時間がかかるため、まだ機密レベルタグが付けされた BigQuery データセットはありません。

条件付きアクセスをテストするために、機密データを含まない damaged_car_image_info という名前の BigQuery データセットに、手動で機密性「低」のタグを割り当てます。

1. Google Cloud コンソールで、ナビゲーション メニュー（）> [BigQuery] をクリックします。

2. [エクスプローラ] パネルで、プロジェクト ID（）の横にある矢印を開き、BigQuery データセットのリストを表示します。

3. 「damaged_car_image_info」をクリックしてデータセット情報のタブを開き、[詳細を編集]（鉛筆アイコン）をクリックします。

4. [タグ] で [スコープを選択] > [現在のプロジェクトを選択] をクリックします。

5. 次の詳細を選択します。

プロパティ	値
キー 1	sensitivity-level
値 1	low

6. [保存] をクリックします。

ユーザー名 2 として BigQuery への条件付きアクセス権をテストする

このセクションでは、最後にもう一度ユーザー名 2（）として Google Cloud プロジェクトにログインします。新しいユーザーに切り替える方法については、以下のヒントを開いてください。

完全なソリューション（開くとすべての手順が確認できます）

ユーザー名 2 として、次の手順に沿ってユーザー名 2 に付与されている BigQuery への条件付きアクセス権を確認します。

1. ナビゲーション メニュー（）> [BigQuery] をクリックして、BigQuery に戻ります。

2. [データ エクスプローラ] パネルで、プロジェクト ID（）の横にある矢印を開き、BigQuery データセットのリストを表示します。

   IAM ロールが適切な条件で更新されると、次の BigQuery データセットが 1 つだけ表示されます。これは、機密性「低」のタグが付いているデータセットがこの 1 つのみであるためです。

   • damaged_car_image_info

注: IAM ロールの更新が完全に反映されるまで 5～10 分かかる場合があります。BigQuery データセットが damaged_car_image_info の 1 つだけになるまで、BigQuery ページの更新を繰り返します。

3. ユーザー名 2 としてプロジェクトからログアウトします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 タグを使用して BigQuery の条件付きアクセス権を調べる

タスク 5. 最初の検出結果を確認する

注: 前述のように、構成スキャンの開始後、完全な結果が利用可能になるまでには時間がかかる場合があります。

別のユーザーに条件付きアクセスを付与し、テストしている間に時間が経過したため、検出スキャンによって生成された Looker ダッシュボードに結果の一部が表示されます。

このセクションでは、まずユーザー名 1（）として Google Cloud プロジェクトに再度ログインします。

新しいユーザーへの切り替えについては、以下のヒントを開いてください。

完全なソリューション（開くとすべての手順が確認できます）

Looker ダッシュボードで結果の概要を表示する

1. Sensitive Data Protection の概要ページに戻ります。

2. [検出] > [スキャン構成] タブで、「BigQuery 検出」という名前の行を見つけます。[Looker Studio] で、該当する行の [Looker] をクリックします。

3. [承認のリクエスト] で [承認] をクリックします。

4. [qwiklabs.net のアカウントを選択] ダイアログ ウィンドウで、 を選択します。

5. [概要] を確認します。

   データリスク、データの機密性、アセットタイプなどの主要な情報を要約したデータタイルが表示されます。

6. [高度な探索（アセットの詳細）] をクリックします。

7. infoType が US_SOCIAL_SECURITY_NUMBER の行を見つけます。[アクション] で、該当する行の [開く] をクリックします。

Sensitive Data Protection で詳細な結果を表示する

1. 開いた [機密データの検出: Filestore のプロファイルの詳細] ページを確認します。

   IAM 権限など、スキャンされたリソースに関する多くの詳細情報が表示されます。

2. [詳細な IAM 権限を表示] の横にある矢印を開きます。

3. [BigQuery 閲覧者] の横にある矢印を開きます。

別のユーザー（）が、タスク 3 で設定した条件で 「BigQuery 閲覧者」としてリストされています。

お疲れさまでした

このラボでは、一時停止モードで BigQuery の検出スキャン構成を作成しました。その後、BigQuery で機密データをフラグ付けするためのタグを作成し、作成したタグを自動スキャンに使用するよう検出スキャン構成を更新しました。最後に、作成したタグを使用して、追加のユーザーに BigQuery データへの条件付きアクセス権を付与しました。

次のステップと詳細情報

BigQuery の Sensitive Data Protection について詳しくは、次のリソースをご覧ください。

• BigQuery での Sensitive Data Protection の使用に関するドキュメント ページ
• BigQuery での Sensitive Data Protection 検出結果のクエリに関するドキュメント ページ

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 11 月 18 日

ラボの最終テスト日: 2024 年 11 月 18 日

Copyright 2025 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。