Google Cloud でデータ環境を保護する

このドキュメントでは、 Google Cloudで個人情報（PII）などのセンシティブ データを含む大規模なデータセットを保護するためのハイレベルなアーキテクチャについて説明します。このアーキテクチャは、センシティブ データを偶発的な漏洩や悪意のあるデータ引き出しから保護するように設計されています。このガイドは、クラウド ネットワーキングと ID の基本的なコンセプトに精通しているデータ コンプライアンス オフィサーとクラウド セキュリティ エンジニアを対象としています。このアーキテクチャでは、リソースが誤って構成されている場合でも、寛容な Identity and Access Management（IAM）設定を明示的にオーバーライドして不正な一般公開アクセスを防ぐネットワーク境界の使用が強調されています。

このドキュメントのデプロイ セクションでは、この境界をセルフデプロイして公開アクセス ブロックをシミュレートするための Terraform コードのサンプルを提供します。

アーキテクチャ

次のアーキテクチャ図は、 Google Cloud上の堅牢な多層データ保護戦略を示しています。データが構造化されていない状態から安全な管理環境に移行する様子を効果的に示しています。

上の図は、Google の各サービスがデータの初回アップロードからデータアクセスまで、データのセキュリティをどのように確保しているかを示しています。

1. 適切な IAM 権限を持つユーザーが、BigQuery または Cloud Storage データ ストレージ サービスにデータをアップロードします。ストレージ サービスは、顧客管理の暗号鍵（CMEK）と Cloud KMS Autokey を使用するように構成されています。
2. サービスは、Cloud KMS Autokey から取得した CMEK を使用してデータを暗号化します。
3. Sensitive Data Protection は、リポジトリ内のセンシティブ データを継続的に検査、分類、匿名化します。センシティブ データを匿名化するために、Sensitive Data Protection は、構成したテンプレートとオプションを使用してデータをマスクします。
4. ストレージ サービスは VPC Service Controls の境界内にあり、境界外からのデータアクセスをブロックします。指定されたユーザーとシステム（IAM プリンシパル）にアクセス権限を付与するには、Access Context Manager のアクセスレベル テンプレートを使用します。指定されたプリンシパルは、境界内のデータにアクセスできます。
5. VPC Service Controls は、アクセスレベル テンプレートで指定されていないユーザーのアクセスを拒否します。

使用するプロダクト

• VPC Service Controls: Google Cloud リソースのデータ漏洩リスクを最小限に抑えるマネージド ネットワーキング機能。
• Sensitive Data Protection: 個人情報（PII）などの貴重なデータアセットを検出、分類、保護できるようにするためのフルマネージド サービス。
• Cloud Key Management Service（Cloud KMS）: 単一の一元化されたクラウド サービスで暗号鍵の作成、インポート、管理を行い、暗号オペレーションを実行できるサービス。
• Access Context Manager: Google Cloudのプロジェクトとリソースに対してきめ細かい属性ベースのアクセス制御ポリシーを定義できるサービス。
• BigQuery: ML、地理空間分析、ビジネス インテリジェンスなどの組み込み機能を使用してデータの管理と分析を支援する、Google Cloud のフルマネージド エンタープライズ データ ウェアハウス。
• Cloud Storage: 低コストで無制限のオブジェクト ストア。さまざまなデータ型に対応しています。データには Google Cloudの内部および外部からアクセスでき、冗長性を確保するために複数のロケーションに複製されます。

ユースケース

このアーキテクチャは、 Google Cloudで機密データを処理するための堅牢なセキュリティ フレームワークを提供します。データ保護、アクセス制御、データ引き出し防止に重点を置いています。このアーキテクチャは、強力な暗号化と自動化されたデータ匿名化およびネットワーク境界制御を組み合わせることで、センシティブ データの安全な環境を確立するのに役立ちます。この実装により、データが顧客管理の鍵（CMEK）で暗号化され、機密情報が自動的に検出されてマスクされ、アクセスが厳密に制限されてコンテキストで管理されるようになります。これらの対策は、データの引き出しのリスクを大幅に軽減するのに役立ちます。

このドキュメントで説明するアーキテクチャのユースケースの例を次に示します。

• 規制の厳しい業界（金融、医療、公共部門）: 規制の厳しい業界では、コンプライアンスとデータ セキュリティの達成に役立つセキュリティ フレームワークが必要です。コンプライアンスを達成し、機密性の高い顧客データを保護するには、保存中のデータの保護、センシティブ データの検出、アクセス制御の実施が不可欠です。規制対象の業界では、データ コンプライアンスの達成に役立つこの設計を実装することをおすすめします。
• 規制対象外の業界: データ規制の対象とならない業界でも、堅牢なセキュリティ フレームワークを実装することでメリットが得られます。センシティブ データの漏洩を防ぎ、データを安全に保存し、データへのアクセスを制御するポリシーを整備することが重要です。このドキュメントのアーキテクチャは、規制の厳しい業界と同じレベルのセキュリティを規制の緩い業界で実現するのに役立ちます。規制対象外の業界では、この設計をベスト プラクティスとして実装することをおすすめします。

設計上の考慮事項

• ログ違反を分析し、本番環境ワークロードの誤ったロックアウトを防ぐには、常に最初に ドライラン モードで VPC Service Controls を実装します。
• 信頼できる企業ネットワークと管理デバイスが保護されたリソースとやり取りできるようにするには、正確な Access Context Manager のポリシーとレベルを定義します。

• 機密データが存在する可能性のある場所を迅速かつ費用対効果の高い方法で特定するには、大規模なデータセットでサンプリングを有効にして Sensitive Data Protection を実行します。詳しくは、次のリソースをご覧ください。

  • サンプリングを使用した BigQuery に含まれるセンシティブ データの検査
  • サンプリングを使用して Cloud Storage を検査する

  これらのデータセットを包括的に保護するには、サンプリングでデータを検査した後、包括的なスキャンを実行します。詳細については、機密データの検出の概要をご覧ください。

• 自動暗号化の適用を確実にするため、リソースを作成する前に、フォルダまたはプロジェクト レベルで Cloud KMS Autokey を有効にします。

デプロイ

このアーキテクチャのサンプル実装をデプロイするには、GitHub で入手できるデータ セキュリティのコードサンプルを使用します。

次のステップ

• Cloud KMS Autokey の使用方法については、Cloud KMS Autokey を使用してリソースを簡単に暗号化する Codelab をご覧ください。
• Access Context Manager で VPC Service Controls を使用する方法を確認する。
• Cloud アーキテクチャ センターで、リファレンス アーキテクチャ、図、ベスト プラクティスを確認する。

寄稿者

著者:

• Manish Gaur | セキュリティ アーキテクト
• James Meyer | セキュリティ アーキテクト

その他の寄稿者:

• Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
• Susan Wu | アウトバウンド プロダクト マネージャー
• Mark Schlagenhauf | テクニカル ライター、ネットワーキング
• Biodun Awojobi | セキュリティとコンプライアンス担当カスタマー エンジニアリング責任者