機密データの検出を有効にする

このドキュメントでは、Sensitive Data Protection の機密データの検出機能、各 Security Command Center サービスティアでの機能の仕組み、機能を有効にする方法について説明します。

始める前に

Security Command Center で機密データの検出を使用するには、次のタスクを完了します。

Security Command Center を有効にする

Security Command Center を有効にする。 Security Command Center の有効化方法によっては、Sensitive Data Protection の追加料金が発生する場合があります。詳細については、Security Command Center のお客様向けの検出料金をご覧ください。

Security Command Center が Sensitive Data Protection の検出結果を受け入れるように構成されていることを確認する

デフォルトでは、Security Command Center は Sensitive Data Protection からの検出結果を受け入れるように構成されています。組織で Sensitive Data Protection が統合サービスとして無効になっている場合は、機密データの検出結果を受け取るために、再度有効にする必要があります。詳細については、 Google Cloud 統合サービスを追加するをご覧ください。

権限を設定する

機密データの検出を構成するために必要な権限を取得するには、組織に対する以下の IAM ロールの付与を管理者に依頼してください。

目的	事前定義ロール	関連する権限
検出スキャン構成を作成してデータプロファイルを表示する	DLP 管理者（`roles/dlp.admin`）	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
サービスエージェントコンテナとして使用されるプロジェクトを作成する¹	プロジェクト作成者（`roles/resourcemanager.projectCreator`）	resourcemanager.organizations.get resourcemanager.projects.create
検出アクセス権を付与する²	次のいずれかになります。組織管理者（`roles/resourcemanager.organizationAdmin`）セキュリティ管理者（`roles/iam.securityAdmin`）	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹ プロジェクト作成者（roles/resourcemanager.projectCreator）のロールが付与されていなくても、スキャン構成を作成できますが、使用するサービスエージェントコンテナは既存のプロジェクトにする必要があります。

² 組織管理者（roles/resourcemanager.organizationAdmin）またはセキュリティ管理者（roles/iam.securityAdmin）のロールを付与されていなくても、スキャン構成を作成できます。スキャン構成を作成した後、これらのロールのいずれかを持つ組織内のユーザーがサービスエージェントに検出アクセス権を付与する必要があります。

ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

メリット

この機能には次の利点があります。

Sensitive Data Protection の検出結果を使用して、機密データの一般公開や悪意のある行為者への公開がされてしまう可能性のあるリソースの脆弱性と構成ミスを特定して修復できます。
Sensitive Data Protection の検出結果を使用して、トリアージプロセスにコンテキストを追加し、機密データを含むリソースを標的とする脅威に優先順位を付けることができます。
攻撃パスシミュレーション機能を構成して、リソースに含まれるデータの機密性に基づいてリソースの優先度を自動的に設定できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。

Security Command Center Enterprise での機密データの検出

Security Command Center Enterprise には、Sensitive Data Protection 検出サービスの組織レベルのサブスクリプションが含まれています。このサブスクリプションでは、組織レベルまたはフォルダレベルで機密データの検出を実行しても、Sensitive Data Protection の料金は発生しません。詳細については、このドキュメントの Enterprise と Premium の検出容量をご覧ください。

Security Command Center Enterprise ティアを有効にすると、組織レベルでのすべてのサポートされるリソースタイプに対して機密データの検出が自動的に有効になります。この自動有効化プロセスは、Enterprise ティアの有効化時にサポートされているリソースタイプにのみ適用される 1 回限りのオペレーションです。後で Sensitive Data Protection によって新しいリソースタイプの検出サポートが追加された場合は、それらの検出タイプを手動で有効にする必要があります。手順については、このドキュメントの組織でデフォルト設定を使用して検出を有効にするをご覧ください。

Security Command Center Premium での機密データの検出

Security Command Center Premium が組織レベルで有効になっている場合、Premium サブスクリプションには、Sensitive Data Protection 検出サービスの組織レベルのサブスクリプションが含まれます。このサブスクリプションでは、組織レベルまたはフォルダレベルで機密データの検出を実行しても、Sensitive Data Protection の料金は発生しません。詳細については、このドキュメントの Enterprise と Premium の検出容量をご覧ください。

重要: 機密データの検出を構成する場合は、構成のスコープ（parent とも呼ばれます）がプロジェクトではなく組織であることを確認してください。組織レベルのサブスクリプションには、組織スコープでの検出のみが含まれます。プロジェクトレベルのスコープを使用すると、検出料金が別途発生します。

組織レベルのサブスクリプションを使用して単一のプロジェクトで検出を実行するには、Sensitive Data Protection のドキュメントの組織またはフォルダ内の一部のプロジェクトまたはデータアセットのプロファイルをご覧ください。

組織レベルで機密データの検出を行うには、このドキュメントの組織でデフォルト設定を使用して検出を有効にするをご覧ください。
Security Command Center Premium をプロジェクトレベルで有効にしている場合は、プロジェクトレベルで機密データの検出を有効にして、Security Command Center で検出結果を取得できます。ただし、この機能は別途料金が発生します。プロジェクトレベルで検出を有効にするには、Sensitive Data Protection のドキュメントのスキャン構成を作成するをご覧ください。

Security Command Center インスタンスの有効化タイプを確認するには、現在の有効化タイプを表示するをご覧ください。

Security Command Center Standard での機密データの検出

Security Command Center Standard を使用している場合は、機密データの検出を有効にして、Security Command Center で検出結果を取得できます。ただし、この機能は別途料金が発生します。

仕組み

Sensitive Data Protection の検出サービスにより、機密データやリスクの高いデータが存在する場所を特定して、組織全体のデータを保護できます。

Sensitive Data Protection では、この検出サービスによってデータプロファイルが生成されます。これにより、データに関する指標と分析情報がさまざまな詳細レベルで提供されます。
Security Command Center では、検出サービスが検出結果を生成します。

生成された検出結果

Sensitive Data Protection は、データの計算された機密性とデータリスクレベルを示すモニタリングの検出結果を Security Command Center で生成します。これらの検出結果を使用して、データアセットに関連する脅威や脆弱性に遭遇した際の対応に関する情報を提供できます。生成された検出結果タイプの一覧については、検出サービスによるモニタリング検出結果をご覧ください。

この検出結果により、データの機密性に基づいて高価値リソースの自動指定に関する情報が提供されます。詳細については、このドキュメントの検出分析情報を使用して高価値リソースを特定するをご覧ください。
Sensitive Data Protection が保護されていない機密性の高いデータまたは中程度の機密性のデータを検出すると、Sensitive Data Protection は Security Command Center で脆弱性と構成ミスに関する検出結果を生成します。生成された検出結果タイプの一覧については、以下をご覧ください。
- Sensitive Data Protection 検出サービスによる脆弱性の検出
- Sensitive Data Protection 検出サービスによる構成ミスの検出

Sensitive Data Protection の検出結果の一覧については、Sensitive Data Protection をご覧ください。

検出結果の生成のレイテンシ

組織の規模によっては、機密データの検出を有効にしてから数分以内に、Sensitive Data Protection の検出結果が Security Command Center に表示され始めることがあります。大規模な組織や、検出結果の生成に影響する特定の構成を持つ組織では、最初の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。

その後、検出サービスがリソースをスキャンしてから数分以内に、Sensitive Data Protection が Security Command Center で検出結果を生成します。

組織でデフォルト設定を使用して検出を有効にする

検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。作成した構成は編集できます。構成の作成プロセスで設定をカスタマイズするには、スキャン構成を作成するをご覧ください。

組織レベルでデフォルト設定を使用して検出を有効にする手順は次のとおりです。

Google Cloud コンソールで、Sensitive Data Protection の [検出を有効にする] ページに移動します。

[検出を有効にする] に移動
Security Command Center を有効にした組織が表示されていることを確認します。
[検出を有効にする] ペインの [サービスエージェントコンテナ] フィールドで、サービスエージェントコンテナとして使用するプロジェクトを設定します。このプロジェクト内で、システムはサービスエージェントを作成し、必要な検出ロールを自動的に付与します。
- サービスエージェントコンテナとして使用するプロジェクトを自動的に作成する手順は次のとおりです。
  1. [作成] をクリックします。
  2. 新しいプロジェクトの名前、請求先アカウント、親組織を指定します。必要に応じて、プロジェクト ID を編集します。
  3. [作成] をクリックします。
  新しいプロジェクトのサービスエージェントにロールが付与されるまでに数分かかることがあります。
- 以前に検出オペレーションで使用したプロジェクトを選択するには、[サービスエージェントコンテナ] フィールドをクリックしてプロジェクトを選択します。
デフォルト設定を確認するには、展開アイコンをクリックします。
[検出を有効にする] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次の処理が行われます。
- BigQuery: 組織全体の BigQuery テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は BigQuery データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Cloud SQL: 組織全体の Cloud SQL テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスのデフォルトの接続の作成を開始します。この処理には数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベースユーザー認証情報で各接続を更新し、Sensitive Data Protection の Cloud SQL インスタンスへのアクセスを許可します。
- シークレット / 認証情報の脆弱性: Cloud Run の環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
- Cloud Storage: 組織全体の Cloud Storage バケットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Cloud Storage データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Vertex AI データセット: 組織全体の Vertex AI データセットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Vertex AI データセットのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Amazon S3: AWS コネクタがアクセスできるすべての Amazon S3 データのプロファイリング用の検出構成を作成します。
  
  注: この機能を使用するには、Security Command Center Enterprise が必要です。まず、Sensitive Data Protection の検出に必要な AWS 権限を持つ AWS コネクタを作成する必要があります。
- Azure Blob Storage: Azure コネクタがアクセスできるすべての Azure Blob Storage データのプロファイリング用の検出構成を作成します。
  
  注: この機能を使用するには、Security Command Center Enterprise が必要です。まず、Sensitive Data Protection 検出に必要な Azure 権限を持つ Azure コネクタを作成する必要があります。
新しく作成した検出構成を表示するには、[検出構成に移動] をクリックします。

Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。検出で使用する接続を管理するを参照して、サービスエージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスのデータベースユーザー認証情報を提供します。
ペインを閉じます。

Sensitive Data Protection によって生成された検出結果を表示するには、Google Cloud コンソールで Sensitive Data Protection の検出結果を確認するをご覧ください。

スキャン構成をカスタマイズする

有効にした検出タイプごとに、カスタマイズできる検出スキャン構成があります。たとえば、次の操作が可能です。

スキャン頻度を調整します。
再プロファイリングしないデータアセットのフィルタを指定します。
Sensitive Data Protection がスキャンする情報タイプを定義する検査テンプレートを変更します。
生成されたデータプロファイルを他の Google Cloud サービスに公開します。
サービスエージェントコンテナを変更します。

検出分析情報を使用して高価値リソースを特定する

Security Command Center は、機密性の高いデータまたは中程度の機密性のデータを含むリソースを高価値リソースとして自動的に指定できます。高価値リソースの場合、Security Command Center は、攻撃の発生可能性スコアを提供して攻撃パスの可視化を実現します。これにより、機密データを含むリソースのセキュリティを優先できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。

Enterprise と Premium の検出容量

機密データの検出のニーズが Security Command Center Enterprise または Premium（組織レベル）のお客様に割り当てられた容量を超える場合、Sensitive Data Protection によって容量が一時的に増加することがあります。ただし、この増加は保証されておらず、コンピューティングリソースが使用可能かどうかに依存します。検出容量を増やす必要がある場合は、アカウント担当者または Google Cloud セールススペシャリストにお問い合わせください。詳細については、Sensitive Data Protection に関するドキュメントの使用状況のモニタリングをご覧ください。