エンタープライズ ティアで機密データの検出を有効にする

このページでは、デフォルト設定を使用して機密データの検出を有効にする方法について説明します。検出を有効にした後、いつでも設定をカスタマイズできます。

Security Command Center Enterprise をご利用の場合は、機密データ保護検出サービスが Enterprise サブスクリプションに含まれています。詳細については、このページの検出容量の割り当てをご覧ください。

Security Command Center Enterprise ティアの有効化プロセス中に、Sensitive Data Protection 検出サービスがすべてのサポートされているリソースタイプに対して自動的に有効になります。この自動有効化プロセスは、エンタープライズ ティアの有効化時にサポートされているリソースタイプにのみ適用される 1 回限りのオペレーションです。後で Sensitive Data Protection によって新しいリソースタイプの検出サポートが追加された場合は、これらの手順に沿って、それらの検出タイプを手動で有効にする必要があります。

利点

この機能には次の利点があります。

  • Sensitive Data Protection の検出結果を使用して、機密データを一般公開したり、悪意のある行為者に公開したりする可能性のあるリソースの脆弱性構成ミスを特定して修復できます。

  • これらの検出結果を使用して、トリアージ プロセスにコンテキストを追加し、機密データを含むリソースを標的とする脅威の優先順位を設定できます。

  • リソースに含まれるデータの機密性に基づいて、攻撃パス シミュレーション機能のリソースの優先度を自動的に設定するように Security Command Center を構成できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。

仕組み

Sensitive Data Protection の検出サービスにより、機密データやリスクの高いデータが存在する場所を特定して、組織全体のデータを保護できます。Sensitive Data Protection では、このサービスによってデータ プロファイルが生成されます。これにより、データに関する指標と分析情報がさまざまな詳細レベルで提供されます。Security Command Center では、このサービスによって以下のことが行われます。

  • Security Command Center で、データの計算された機密性とデータリスク レベルを示すモニタリングの検出結果を生成します。これらの検出結果を使用して、データアセットに関連する脅威や脆弱性に遭遇した際の対応に関する情報を提供できます。生成された検出結果タイプの一覧については、検出サービスによるモニタリング検出結果をご覧ください。

    この検出結果により、データの機密性に基づいて高価値リソースの自動指定に関する情報が提供されます。詳細については、このページの検出分析情報を使用して高価値リソースを特定するをご覧ください。

  • Sensitive Data Protection が保護されていない機密性の高いデータの存在を検出すると、Security Command Center で脆弱性の検出結果を生成します。生成された検出結果のタイプの一覧については、Sensitive Data Protection 検出サービスによる脆弱性の検出結果をご覧ください。

検出生成のレイテンシ

組織の規模によっては、機密データの検出を有効にしてから数分以内に、Sensitive Data Protection の検出結果が Security Command Center に表示され始めることがあります。大規模な組織や、検出結果の生成に影響する特定の構成を持つ組織では、最初の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。

その後、検出サービスがリソースをスキャンしてから数分以内に、Sensitive Data Protection が Security Command Center で検出結果を生成します。

始める前に

以下のタスクを完了してから、このページの残りのタスクを完了してください。

Security Command Center のエンタープライズ ティアを有効にする

設定ガイドのステップ 1 とステップ 2 を完了して、Security Command Center のエンタープライズ ティアを有効にします。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。

Sensitive Data Protection が統合サービスとして有効になっていることを確認する

デフォルトでは、Sensitive Data Protection は Security Command Center で統合サービスとして有効になっています。Sensitive Data Protection がまだ有効になっていない場合は、有効にする必要があります。詳細については、 Google Cloud 統合サービスを追加するをご覧ください。

権限を設定する

機密データの検出を構成するために必要な権限を取得するには、組織に対する以下の IAM ロールの付与を管理者に依頼してください。

目的 事前定義ロール 関連する権限
検出スキャン構成を作成してデータ プロファイルを表示する DLP 管理者(roles/dlp.admin
  • dlp.columnDataProfiles.list
  • dlp.fileStoreProfiles.list
  • dlp.inspectTemplates.create
  • dlp.jobs.create
  • dlp.jobs.list
  • dlp.jobTriggers.create
  • dlp.jobTriggers.list
  • dlp.projectDataProfiles.list
  • dlp.tableDataProfiles.list
サービス エージェント コンテナとして使用されるプロジェクトを作成する1 プロジェクト作成者(roles/resourcemanager.projectCreator
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
検出アクセス権を付与する2 次のいずれかになります。
  • 組織管理者 (roles/resourcemanager.organizationAdmin
  • セキュリティ管理者(roles/iam.securityAdmin
  • resourcemanager.organizations.getIamPolicy
  • resourcemanager.organizations.setIamPolicy

1 プロジェクト作成者(roles/resourcemanager.projectCreator)のロールが付与されていなくても、スキャン構成を作成できますが、使用するサービス エージェント コンテナは既存のプロジェクトにする必要があります。

2 組織管理者(roles/resourcemanager.organizationAdmin)またはセキュリティ管理者(roles/iam.securityAdmin)のロールを付与されていなくても、スキャン構成を作成できます。スキャン構成を作成した後、これらのロールのいずれかを持つ組織内のユーザーがサービス エージェントに検出アクセス権を付与する必要があります。

ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

デフォルト設定で検出を有効にする

検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。この手順では、デフォルト設定を使用してこれらの検出構成を自動的に作成できます。この手順を実行した後、いつでも設定をカスタマイズできます。

最初から設定をカスタマイズする場合は、次のページをご覧ください。

デフォルト設定で検出を有効にする手順は次のとおりです。

  1. Google Cloud コンソールで、Sensitive Data Protection の [検出の有効化] ページに移動します。

    [検出を有効にする] に移動

  2. Security Command Center を有効にした組織が表示されていることを確認します。

  3. [サービス エージェント コンテナ] フィールドで、サービス エージェント コンテナとして使用するプロジェクトを設定します。このプロジェクト内で、システムはサービス エージェントを作成し、必要な検出権限を自動的に付与します。

    以前に組織で検出サービスを使用していた場合は、再利用できるサービス エージェント コンテナ プロジェクトがすでに存在している可能性があります。

    • サービス エージェント コンテナとして使用するプロジェクトを自動的に作成するには、推奨されるプロジェクト ID を確認し、必要に応じて編集します。次に [作成] をクリックします。新しいプロジェクトのサービス エージェントに権限が付与されるまでに数分かかることがあります。
    • 既存のプロジェクトを選択するには、[サービス エージェント コンテナ] フィールドをクリックしてプロジェクトを選択します。
  4. デフォルト設定を確認するには、 展開アイコンをクリックします。

  5. [検出を有効にする] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次の処理が行われます。

    • BigQuery: 組織全体の BigQuery テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は BigQuery データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Cloud SQL: 組織全体の Cloud SQL テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスのデフォルトの接続の作成を開始します。この処理には数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベース ユーザー認証情報で各接続を更新し、Sensitive Data Protection のCloud SQL インスタンスへのアクセスを許可します。
    • シークレット / 認証情報の脆弱性: Cloud Run の環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
    • Cloud Storage: 組織全体の Cloud Storage バケットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Cloud Storage データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Vertex AI データセット: 組織全体の Vertex AI データセットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Vertex AI データセットのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Amazon S3: AWS コネクタがアクセスできるすべての Amazon S3 データのプロファイリング用の検出構成を作成します。

    • Azure Blob Storage: Azure コネクタがアクセスできるすべての Azure Blob Storage データのプロファイリング用の検出構成を作成します。

  6. 新しく作成した検出構成を表示するには、[検出構成に移動] をクリックします。

    Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。検出で使用する接続を管理するで、サービス エージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスのデータベース ユーザー認証情報を提供します。

  7. ペインを閉じます。

Sensitive Data Protection によって生成された検出結果を表示するには、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。

検出分析情報を使用して高価値リソースを特定する

攻撃パス シミュレーション機能のリソース値の構成を作成する際に、Security Command Center で Sensitive Data Protection の検出分析情報オプションを有効にすると、高機密データまたは中程度の機密データを含むリソースを高価値リソースとして自動的に指定できます。

高価値リソースの場合、Security Command Center は、攻撃の発生可能性スコアを提供して攻撃パスの可視化を実現します。これにより、機密データを含むリソースのセキュリティを優先できます。 詳細については、データの機密性によってリソースの優先度値を自動的に設定する をご覧ください。

スキャン構成をカスタマイズする

有効になっている検出タイプごとに、カスタマイズできる検出スキャン構成があります。たとえば、次の操作が可能です。

  • スキャン頻度を調整します。
  • 再プロファイリングしないデータアセットのフィルタを指定します。
  • Sensitive Data Protection がスキャンする情報タイプを定義する検査テンプレートを変更します。
  • 生成されたデータ プロファイルを他の Google Cloud サービスに公開します。
  • サービス エージェント コンテナを変更します。

ファインド広告の容量の割り当て

機密データの検出のニーズが Security Command Center Enterprise のお客様に割り当てられた容量を超える場合、Sensitive Data Protection によって容量が一時的に増加することがあります。ただし、この増加は保証されておらず、コンピューティング リソースが使用可能かどうかに依存します。検出容量を増やす必要がある場合は、アカウント担当者または Google Cloud セールス スペシャリストにお問い合わせください。詳細については、Sensitive Data Protection に関するドキュメントの使用状況のモニタリングをご覧ください。

次のステップ