読み込んでいます...
一致する結果は見つかりませんでした。

Google Cloud コンソールでスキルを試す

ラボの設定手順と要件
アカウントと進行状況を保護します。このラボを実行するには、常にシークレット ブラウジング ウィンドウとラボの認証情報を使用してください。

エコシステム全体で機密データを検出して保護する: チャレンジラボ

ラボ 30分 universal_currency_alt クレジット: 5 show_chart 中級
info このラボでは、学習をサポートする AI ツールが組み込まれている場合があります。
このコンテンツはまだモバイル デバイス向けに最適化されていません。
快適にご利用いただくには、メールで送信されたリンクを使用して、デスクトップ パソコンでアクセスしてください。

GSP522

Google Cloud セルフペース ラボのロゴ

概要

チャレンジラボでは、シナリオと一連のタスクが提供されます。手順ガイドに沿って進める形式ではなく、コース内のラボで習得したスキルを駆使して、ご自身でタスクを完了していただきます。タスクが適切に完了したかどうかは、このページに表示される自動スコアリング システムで確認できます。

チャレンジラボは、Google Cloud の新しいコンセプトについて学習するためのものではありません。デフォルト値を変更する、エラー メッセージを読み調査を行ってミスを修正するなど、習得したスキルを応用する能力が求められます。

100% のスコアを達成するには、制限時間内に全タスクを完了する必要があります。

このラボは、「エコシステム全体で機密データを検出して保護する」コースに登録している受講者を対象としています。準備が整ったらチャレンジを開始しましょう。

チャレンジ シナリオ

あなたは Cymbal Cars のデータ エンジニアです。組織のデータ エコシステム全体にわたり、お客様(車の所有者)の機密データを特定して保護する役割を任されました。

同僚はすでに、組織内の Cloud Storage のファイルや BigQuery テーブルに存在する機密データ(特に米国の社会保障番号)を特定し秘匿化する作業を完了しており、さらに生成 AI モデルの回答に含まれる機密データの特定と秘匿化も実施済みです。

Cloud Storage のファイルと BigQuery のアセットが定期的にスキャンされて保護されるように、Sensitive Data Protection の検出を設定してジョブを実行し、クレジット カード番号などの機密データを特定および秘匿化する必要があります。

組織の生成 AI モデルについては、同僚が以前に行った作業を拡張し、モデルの回答内で認証情報が特定された際に、該当箇所を秘匿化できるようにしたいと考えています。

このチャレンジでは、Sensitive Data Protection ツールに関する知識を活用して、Cloud Storage と BigQuery に保存されたデータの検出と保護を実装します。さらに、Cloud Data Loss Prevention(DLP)API の Python クライアントを使用して、認証情報を含む生成 AI モデルの回答を特定して秘匿化します。

テスト対象トピック

  • Cloud Storage の検出スキャン構成の作成とスケジュール設定
  • 匿名化テンプレートの作成と、Cloud Storage ファイルへの匿名化ジョブの実行
  • 機密データ用の IAM タグを作成し、BigQuery データに適用して条件付きアクセス権を付与する
  • Cloud Data Loss Prevention(DLP)API で特定した機密データを含む生成 AI モデルの回答の、秘匿化やブロックを行う Python 関数を作成する

設定と要件

このラボ環境では次の設定を使用します。

  • Google Cloud コンソールにはユーザー名 1()でログインします
  • [プロジェクト ID] には次を使用します:
  • 特に指定がない限り、[ロケーション] には次を使用します:

[ラボを開始] ボタンをクリックする前に

こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。

このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

  • 標準的なインターネット ブラウザ(Chrome を推奨)
注: このラボの実行には、シークレット モード(推奨)またはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生しないようにすることができます。
  • ラボを完了するための時間(開始後は一時停止できません)
注: このラボでは、受講者アカウントのみを使用してください。別の Google Cloud アカウントを使用すると、そのアカウントに料金が発生する可能性があります。

タスク 1. Cloud Storage で Sensitive Data Protection を有効にする

チームには、gs://-car-owners という名前の Cloud Storage バケットがあり、自動車の所有者とのやり取りに関するファイルが格納されています。これらのファイルの多くは、同僚によって機密データがすでに秘匿化されています。一方で、バケットには新しく追加された CSV ファイル(.csv)がいくつかあり、クレジット カード番号が含まれています(例: sample-chat-log-data-10.csv)。

目標は、新しく追加された CSV ファイルに含まれるクレジット カード番号を特定して秘匿化することです。さらに、バケットの毎日の検出を有効にし、今後追加される機密データもモニタリングできるようにします。

これらの目標を達成するために、次のサブタスクを完了します。

参考になるガイダンスは、以下のヒントをご覧ください。

Cloud Storage の検出スキャン構成を作成し、毎日実行するようスケジュールを設定する

検出スキャンに関するヒントについては、

プロパティ
スコープの選択 選択したプロジェクトをスキャン
管理されたスケジュール [デフォルトのスケジュール] を編集して、[スケジュールを設定] と [検査テンプレートの変更] の両方で、[毎日再プロファイリングする] を指定する
検査テンプレートの選択 新しい検査テンプレートの作成
データ プロファイルのコピーを BigQuery に保存する 現在のプロジェクトで、[データセット ID] を [cs_discovery] に、[テーブル ID] を [cs_data_profiles] に設定する
構成を保存するロケーションの設定 [Multi_region] > [us(米国の複数のリージョン)]
構成の表示名 Cloud Storage Daily Discovery

CSV ファイルなどの構造化データ内のクレジット カード番号を秘匿化する匿名化テンプレートを作成する

匿名化テンプレートに関するヒントについては、

プロパティ
テンプレート ID us_ccn_deidentify
データ変換のタイプ 記録
表示名 クレジット カード番号の匿名化
ロケーション タイプ Multi_region > global(グローバル)
変換ルールのフィールド message
変換タイプ infoType に基づく一致
変換方法 infoType 名での置換

匿名化テンプレートを使用して、Cloud Storage バケット内の CSV ファイルに対して匿名化ジョブを実行する

匿名化ジョブに関するヒントについては、

プロパティ
ジョブ ID us_ccn_deidentify
ロケーション タイプ [Multi_region] > [us(米国の複数のリージョン)]
URL gs://-car-owners/
スキャンの繰り返し このオプションを有効にする
サンプリング 100%
サンプリング方法 サンプリングなし
構造化された匿名化テンプレート ステップ 2 で作成した匿名化テンプレートのパスを指定する
変換の詳細を BigQuery にエクスポートする 現在のプロジェクトで、[データセット ID] を [cs_transformations] に、[テーブル ID] を [deidentify_ccn] に設定する
Cloud Storage 出力先 gs://-car-owners-transformed

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 Cloud Storage で Sensitive Data Protection を有効にします。

タスク 2. BigQuery の Sensitive Data Protection を有効にする

自動車の所有者情報や購入データも分析用途で BigQuery に保存されており、一部のデータセットには機密データが含まれています。個人を特定できる機密情報(SPII)のタグを IAM で作成し、それを使って、SPII タグが付いていない BigQuery データセットにのみ特定のユーザーがアクセスできるように、条件付きアクセス権を付与する作業を任されています。

この目標を達成するために、次のサブタスクを完了します。

参考になるガイダンスは、以下のヒントをご覧ください。

個人を特定できる機密情報(SPII)の IAM タグを作成する

タグを作成する際のヒントについては、

プロパティ
タグキー SPII
タグキーの説明 個人を特定できる機密情報(SPII)を示すフラグ
タグのキー値 1 あり
タグのキー値 1 の説明 個人を特定できる機密情報(SPII)が含まれている
タグのキー値 2 なし
タグのキー値 2 の説明 個人を特定できる機密情報(SPII)が含まれていない

ユーザー名 2 に、SPII を含まないタグが付いた BigQuery データセットのみへの条件付きアクセス権を付与する

条件付きアクセス権を付与する際のヒントについては、

  1. ユーザー名 2()の IAM 設定を更新して条件を追加します。具体的には、SPII の値が「なし」とタグ付けされた BigQuery データセットのみにアクセスできるようにします。
プロパティ
ユーザー名 2 の IAM ロール [閲覧者] を [参照者] に置き換え、[BigQuery データ閲覧者] はそのまま残して条件を追加する
条件のタイトル SPII アクセスなしのみ
条件タイプ 1 と演算子 [タグ] と [値がある] を選択する
条件タイプ 1 の値のパス /SPII/なし
  1. orders という名前の BigQuery データセットに、[SPII] の値として「なし」のタグを付けます。

car_owners データセットとは異なり、orders データセットには SPII は含まれておらず、注文の詳細のみが含まれています。

テスト(省略可): この条件付きアクセスが正しく機能していることを確認するには、ユーザー名 2 としてプロジェクトにログインし、BigQuery に移動します。[エクスプローラ] のリストで orders という名前のデータセットだけが残るまでページを更新します。これは、ユーザー名 2 が [SPII] の値が「なし」とタグ付けされたデータセットにのみアクセスできるよう制限されているためです。

なお、条件が反映されるまで数分かかることがあります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 BigQuery の Sensitive Data Protection を有効にします。

タスク 3. 生成 AI モデルの回答内の機密データを保護する

チームには、生成 AI モデルの回答に含まれる機密データの種類を特定して、それを秘匿化またはブロックする Python 関数がすでにあります。この関数を拡張して、米国の車両識別番号を含む生成 AI モデルの回答をブロックするよう依頼されました。車両識別番号は、北米の公道を走る自動車に割り当てられた固有の 17 桁のコードで構成される機密データです。

この目標を達成するために、このラボ環境で提供されているノートブックを使用して、次のサブタスクを完了します。

  1. 既存の Python 関数を更新して、米国の VIN が含まれている場合にモデルの回答をブロックするようにします。
  2. 次のプロンプトを使用してサンプル テキストを生成し、更新した関数をテストします。4Y1SL65848Z411439 は、米国の車両識別番号(VIN)の例ですか?
    • 回答を生成する際は、Temperature を 0 に設定してください。これにより、以下の進捗確認で、最も確率が高い結果が返されます。

vertex-ai-jupyterlab という Workbench インスタンスで、事前に作成された deidentify-model-response-challenge-lab.ipynb という名前のノートブックを使用してください。

  • [プロジェクト ID] には次を使用します:
  • [ロケーション] には次を使用します:
注: JupyterLab にノートブックが表示されない場合は、次の追加手順でインスタンスをリセットしてください。

1. JupyterLab のブラウザタブを閉じて、Workbench のホームページに戻ります。

2. インスタンス名の横にあるチェックボックスをオンにして、[リセット] をクリックします。

3. [JupyterLab を開く] ボタンが再度有効になったら、1 分待ってから [JupyterLab を開く] をクリックします。

Python 関数の更新とテストに関するヒントについては、

Temperature を 0 に設定する際のヒントについては、

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 生成 AI モデルの回答で機密データを保護します。

お疲れさまでした

このラボでは、Cloud Storage の検出スキャン構成を作成し、スケジュールを設定しました。続いて、匿名化テンプレートを作成し、Cloud Storage ファイルへの匿名化ジョブを実行しました。さらに、IAM タグを作成して BigQuery データに適用し、条件付きアクセス権を付与しました。最後に、Cloud Data Loss Prevention(DLP)API で特定された機密データを含む生成 AI モデルの回答の秘匿化やブロックを行うよう、Python 関数を更新しました。

「エコシステム全体で機密データを検出して保護する」のスキルバッジ

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2025 年 10 月 30 日

ラボの最終テスト日: 2025 年 10 月 30 日

Copyright 2025 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。

始める前に

  1. ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
  2. ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
  3. 画面左上の [ラボを開始] をクリックして開始します

シークレット ブラウジングを使用する

  1. ラボで使用するユーザー名パスワードをコピーします
  2. プライベート モードで [コンソールを開く] をクリックします

コンソールにログインする

    ラボの認証情報を使用して
  1. ログインします。他の認証情報を使用すると、エラーが発生したり、料金が発生したりする可能性があります。
  2. 利用規約に同意し、再設定用のリソースページをスキップします
  3. ラボを終了する場合や最初からやり直す場合を除き、[ラボを終了] はクリックしないでください。クリックすると、作業内容がクリアされ、プロジェクトが削除されます

このコンテンツは現在ご利用いただけません

利用可能になりましたら、メールでお知らせいたします

ありがとうございます。

利用可能になりましたら、メールでご連絡いたします

1 回に 1 つのラボ

既存のラボをすべて終了して、このラボを開始することを確認してください

シークレット ブラウジングを使用してラボを実行する

このラボを実行するには、シークレット モードまたはシークレット ブラウジング ウィンドウを使用することをおすすめします。これにより、個人アカウントと受講者アカウントの競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。