Google Cloud でデータ環境を保護する

Last reviewed 2026-04-16 UTC

このドキュメントでは、個人情報 (PII)などのセンシティブ データを含む大規模なデータセットを で保護するためのハイレベルなアーキテクチャについて説明します Google Cloud。このアーキテクチャは、センシティブ データを偶発的な漏洩や悪意のある引き出しから保護できるように設計されています。クラウド ネットワーキングと ID の基本的なコンセプトに精通しているデータ コンプライアンス オフィサーとクラウド セキュリティ エンジニアを対象としています。このアーキテクチャでは、リソースが誤って構成されている場合でも、許可型の Identity and Access Management(IAM)設定を明示的にオーバーライドして不正な公開アクセスを防ぐネットワーク境界の使用について説明します。

このドキュメントのデプロイ セクションでは、この境界を自己デプロイして公開アクセス ブロックをシミュレートするための Terraform コード サンプルを提供します。

アーキテクチャ

次のアーキテクチャ図は、 での堅牢な多層データ 保護戦略を示しています。 Google Cloudデータが非構造化状態から安全な管理対象環境に移行する様子を効果的に示しています。

Cloud KMS Autokey と Sensitive Data Protection は、BigQuery と Cloud Storage のデータの保護に役立ちます。

上の図は、最初のデータアップロードからデータアクセスまで、各 Google サービスがデータを保護する方法を示しています。

  1. 適切な IAM 権限を持つユーザーが、BigQuery または Cloud Storage データ ストレージ サービスにデータをアップロードします。ストレージ サービスは、顧客管理の暗号鍵(CMEK)と Cloud KMS Autokey を使用するように構成されています。
  2. サービスは、Cloud KMS Autokey から取得した CMEK を使用してデータを暗号化します。
  3. Sensitive Data Protection は、リポジトリ内のセンシティブ データを継続的に検査、分類、匿名化します。センシティブ データを匿名化するために、Sensitive Data Protection は、構成したテンプレートとオプションを使用してデータをマスキングします。
  4. ストレージ サービスは VPC Service Controls 境界内にあり、境界外からのデータアクセスをブロックします。指定されたユーザーとシステム(IAM プリンシパル)にアクセス許可を付与するには、Access Context Manager アクセスレベルテンプレートを使用します。指定されたプリンシパルは、境界内のデータにアクセスできます。
  5. VPC Service Controls は、アクセスレベル テンプレートで指定されていないユーザーのアクセスを拒否します。

使用するプロダクト

  • VPC Service Controls: リソースのデータ 引き出しリスクを最小限に抑えるマネージド ネットワーキング機能。 Google Cloud
  • Sensitive Data Protection: 個人情報(PII)などの貴重なデータアセットを検出、分類、保護できるように設計されたフルマネージド サービス。
  • Cloud Key Management Service(Cloud KMS): 単一の 一元化されたクラウド サービスで、暗号鍵の作成、インポート、 管理を行い、暗号オペレーションを実行できるサービス。
  • Access Context Manager: のプロジェクトとリソースに対してきめ細かい属性ベースの アクセス制御ポリシーを定義できるサービス Google Cloud。
  • BigQuery: ML、地理空間分析、ビジネス インテリジェンスなどの組み込み機能を使用してデータの管理と 分析を支援する、Google Cloud のフルマネージド エンタープライズ データ ウェアハウス。
  • Cloud Storage: 低コストで無制限のオブジェクト ストア。さまざまなデータ型に対応しています。 データには Google Cloudの内部および外部からアクセスでき、冗長性を確保するために複数のロケーションに複製されます。

ユースケース

このアーキテクチャは、 で機密データを処理するための堅牢なセキュリティ フレームワークを提供します。 Google Cloudデータ保護、アクセス制御、引き出し防止に重点を置いています。このアーキテクチャは、強力な暗号化と自動データ匿名化、ネットワーク境界制御を組み合わせることで、センシティブ データの安全な環境を確立するのに役立ちます。この実装により、データが顧客管理の鍵(CMEK)で暗号化され、機密情報が自動的に検出されてマスキングされ、アクセスが厳密に制限されてコンテキストに応じて管理されるようになります。これらの対策により、データ引き出しのリスクを大幅に軽減できます。

このドキュメントで説明するアーキテクチャのユースケースの例を次に示します。

  • 規制対象の業界(金融、医療、公共部門): 規制の厳しい業界では、コンプライアンスとデータ セキュリティを達成するのに役立つセキュリティ フレームワークが必要です。コンプライアンスを達成し、機密性の高い顧客データを保護するには、保存データの保護、機密データの検出、アクセス制御の実施が不可欠です。規制対象の業界では、この設計を実装してデータ コンプライアンスを達成することをおすすめします。
  • 規制対象外の業界: データ 規制の対象とならない業界でも、堅牢なセキュリティ フレームワークを実装することでメリットが得られます。機密データの公開を防ぎ、データを安全に保存し、データへのアクセスを制御するポリシーを整備することが重要です。このドキュメントのアーキテクチャは、規制対象外の業界が規制の厳しい業界と同じレベルのセキュリティを達成するのに役立ちます。規制対象外の業界では、この設計をベスト プラクティスとして実装することをおすすめします。

設計上の考慮事項

デプロイ

このアーキテクチャのサンプル実装をデプロイするには、GitHub で入手できる データ セキュリティ コードサンプル を使用します。

次のステップ

寄稿者

著者:

その他の寄稿者:

  • Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
  • Susan Wu | アウトバウンド プロダクト マネージャー
  • Mark Schlagenhauf | テクニカル ライター、ネットワーキング
  • Biodun Awojobi | セキュリティとコンプライアンス担当カスタマー エンジニアリング責任者