データ セキュリティ ポスチャー管理(DSPM)については、 Google Cloud のセキュリティに関するデータに重点を置いたビューが用意されています。DSPM を使用すると、どのような機密データがあるか、Google Cloudのどこに保存されているか、その使用がセキュリティとコンプライアンスの要件に沿っているかどうかを把握できるため、データリスクを継続的に特定して軽減できます。
DSPM を使用すると、チームは次のデータ セキュリティ タスクを完了できます。
データの検出と分類: BigQuery や Cloud Storage など、 Google Cloud 環境全体にわたる機密データリソースを自動的に検出して分類します。
データ ガバナンス: Google のベスト プラクティスとコンプライアンス フレームワークに照らして現在のデータ セキュリティ ポスチャーを評価し、潜在的なセキュリティの問題を特定して修正します。
制御の適用: セキュリティ要件を、データアクセス ガバナンスやデータフロー ガバナンスなどの特定のデータ ガバナンス クラウド コントロールにマッピングします。
コンプライアンスのモニタリング: 適用されたデータ セキュリティ フレームワークに照らしてワークロードをモニタリングし、整合性を証明するとともに違反を修正して、監査用の証拠を生成します。
DSPM のコア コンポーネント
以下の各セクションでは、DSPM のコンポーネントについて説明します。
DSPM ダッシュボードでデータ セキュリティ ポスチャーをモニタリングする
Google Cloud コンソールのデータ セキュリティ ダッシュボードでは、組織のデータがデータ セキュリティとコンプライアンスの要件にどのように準拠しているかを確認できます。
データ セキュリティ ダッシュボードのデータマップ エクスプローラには、データが保存されている地理的位置が表示されます。また、地理的位置、データの機密性、関連するプロジェクト、データを保存するGoogle Cloud サービスでデータをフィルタできます。データマップの円は、リージョン内のデータリソースとアラート付きのデータリソースの相対的な数を示しています。
データリソースがデータ セキュリティ クラウド制御に違反した場合に発生するデータ セキュリティに関する検出結果を表示できます。新しい検出結果が生成されてから、データマップ エクスプローラに表示されるまでに最大 2 時間を要する場合があります。
デプロイされたデータ セキュリティ フレームワーク、各フレームワークに関連付けられている未解決の検出結果の数、環境内のリソースのうち少なくとも 1 つのフレームワークでカバーされているリソースの割合に関する情報を確認することもできます。
DSPM のデータ セキュリティ フレームワークとコンプライアンス
フレームワークを使用して、データ セキュリティとコンプライアンスの要件を定義し、それらの要件を Google Cloud 環境に適用します。DSPM には、データ セキュリティとコンプライアンスの推奨ベースライン制御を定義するデータ セキュリティとプライバシーの基本フレームワークが含まれています。DSPM を有効にすると、このフレームワークは検出モードでGoogle Cloud 組織に自動的に適用されます。生成された検出結果を使用して、データ ポスチャーを強化できます。
必要に応じて、フレームワークのコピーを作成して、カスタムデータ セキュリティ フレームワークを作成できます。高度なデータ セキュリティ クラウド コントロールをカスタム フレームワークに追加し、アプリケーション管理用に構成されたフォルダ内の組織、フォルダ、プロジェクト、App Hub アプリケーションにカスタム フレームワークを適用できます。たとえば、特定のフォルダに法域の制御を適用するカスタム フレームワークを作成して、それらのフォルダ内のデータが特定の地理的リージョン内に留まるようにすることができます。
データ セキュリティとプライバシーの基本フレームワーク(ベースライン コントロール)
次のクラウド コントロールは、データ セキュリティとプライバシーの基本フレームワークの一部です。
| クラウド コントロール | 説明 |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
機密データを含む BigQuery テーブルで CMEK が使用されていないケースを検出します。 |
SENSITIVE DATA DATASET CMEK DISABLED |
機密データを含む BigQuery データセットで CMEK が使用されていないケースを検出します。 |
SENSITIVE DATA PUBLIC DATASET |
一般公開されている BigQuery データセット内の機密データを検出します。 |
SENSITIVE DATA PUBLIC SQL INSTANCE |
一般公開されている SQL データベース内の機密データを検出します。 |
SENSITIVE DATA SQL CMEK DISABLED |
機密データを含む SQL データベースで CMEK が使用されていないケースを検出します。 |
高度なデータ ガバナンスとセキュリティのクラウド コントロール
DSPM には、追加のデータ セキュリティ要件を満たすのに有効な高度なデータ セキュリティ機能が用意されています。これらの高度なデータ セキュリティ クラウド コントロールは、次のようにグループ化されます。
- データアクセス ガバナンス: 指定されたプリンシパル以外のプリンシパルが機密データにアクセスしているかどうかを検出します。
- データフロー ガバナンス: 指定された地域(国)の場所の外部にあるクライアントが機密データにアクセスしているかどうかを検出します。
- データ保護と鍵ガバナンス: 顧客管理の暗号鍵(CMEK)による暗号化を実施せずに機密データが作成されているかどうかを検出します。
- データ削除: 機密データの最大保持期間ポリシーの違反を検出します。
これらのコントロールは検出モードのみをサポートしています。これらのコントロールのデプロイについて詳しくは、DSPM を使用するをご覧ください。
データアクセス ガバナンス クラウド コントロールを使用してユーザー権限をモニタリングする
このコントロールにより、機密データへのアクセスが指定したプリンシパル セットに制限されます。データリソースへの非準拠アクセス試行(許可されたプリンシパル以外のプリンシパルによるアクセス)があると、検出結果が作成されます。サポートされているプリンシパルのタイプは、ユーザー アカウントまたはグループです。使用する形式については、サポートされているプリンシパル形式の表をご覧ください。
ユーザー アカウントには次の対象が含まれます。
- ユーザーが google.com で登録した一般ユーザー向け Google アカウント(Gmail.com アカウントなど)
- ビジネス向けの管理対象の Google アカウント
- Google Workspace for Education アカウント
ユーザー アカウントには、ロボット アカウント、サービス アカウント、委任専用のブランド アカウント、リソース アカウント、デバイス アカウントは含まれません。
サポートされているアセットタイプには、次のものがあります。
- BigQuery のデータセットとテーブル
- Cloud Storage バケット
- Vertex AI のモデル、データセット、特徴ストア、メタデータ ストア
DSPM は、ユーザー アカウントがサポートされているリソースタイプを読み取るたびに、このコントロールとの適合性を評価します。
このクラウド コントロールでは、Cloud Storage と Vertex AI のデータアクセス監査ログを有効にする必要があります。
次のような制限があります。
- 読み取りオペレーションのみがサポートされています。
- サービス アカウントによるアクセス(サービス アカウントの権限借用を含む)は、このコントロールの対象外です。緩和策として、信頼できるサービス アカウントのみが機密性の高い Cloud Storage、BigQuery、Vertex AI のリソースにアクセスできるようにします。また、アクセス権を付与すべきでないユーザーには、サービス アカウント トークン作成者(
roles/iam.serviceAccountTokenCreator)のロールを付与しないでください。 - このコントロールでは、Storage Transfer Service や BigQuery Data Transfer Service などのサービス アカウント オペレーションによって作成されたコピーへのユーザーによるアクセスを防止できません。ユーザーは、このコントロールが有効になっていないデータのコピーにアクセスできます。
- リンクされたデータセットはサポートされていません。リンクされたデータセットは、ソース データセットへのシンボリック リンクとして機能する読み取り専用の BigQuery データセットを作成します。リンクされたデータセットではデータアクセス監査ログが生成されず、承認されていないユーザーがデータを読み取ることができ、データにフラグが設定されない可能性があります。たとえば、ユーザーがデータセットをコンプライアンス境界外のデータセットにリンクしてアクセス制御を回避し、ソース データセットに対するログを生成せずに新しいデータセットをクエリする可能性があります。緩和策として、機密性の高い BigQuery リソースへのアクセス権を付与すべきではないユーザーには、BigQuery 管理者(
roles/bigquery.admin)、BigQuery データオーナー(roles/bigquery.dataOwner)、BigQuery Studio 管理者(roles/bigquery.studioAdmin)のロールを付与しないでください。 - ワイルドカード テーブル クエリは、テーブルセット レベルではなく、データセット レベルでサポートされています。この機能を使用すると、ワイルドカード式を使用して複数の BigQuery テーブルを同時にクエリできます。DSPM は、ワイルドカード クエリを、データセット内の個別のテーブルではなく、親 BigQuery データセットにアクセスしているかのように処理します。
- Cloud Storage オブジェクトへのパブリック アクセスはサポートされていません。パブリック アクセスでは、ポリシーの確認を実施することなくすべてのユーザーにアクセス権が付与されます。
- 認証済みのブラウザ セッションを使用した Cloud Storage オブジェクトへのアクセスまたはダウンロードはサポートされていません。
- App Hub アプリケーションにデプロイする場合、BigQuery のテーブルとデータセットはサポートされていません。
データフロー ガバナンス クラウド コントロールを使用してデータの引き出しを防止する
このコントロールでは、データにアクセスできる国を指定できます。クラウド コントロールは次のように動作します。
読み取りリクエストがインターネットから送信された場合、国は読み取りリクエストの IP アドレスに基づいて判別されます。プロキシを使用して読み取りリクエストを送信する場合、アラートはプロキシの場所に基づいて送信されます。
読み取りリクエストが Compute Engine VM から送信された場合、国はリクエストの送信元であるクラウドゾーンによって判別されます。
サポートされているアセットタイプには、次のものがあります。
- BigQuery のデータセットとテーブル
- Cloud Storage バケット
- Vertex AI モデル、データセット、特徴ストア、メタデータ ストア
次のような制限があります。
- 読み取りオペレーションのみがサポートされています。
- Vertex AI では、インターネットからのリクエストのみがサポートされています。
- Cloud Storage オブジェクトへのパブリック アクセスはサポートされていません。
- 認証済みのブラウザ セッションを使用した Cloud Storage オブジェクトへのアクセスまたはダウンロードはサポートされていません。
- アプリケーション管理用に構成されたフォルダ内の App Hub アプリケーションにデプロイする場合について、BigQuery テーブルとデータセットはサポートされていません。
データ保護と鍵ガバナンスのクラウド コントロールを使用して CMEK 暗号化を適用する
これらのコントロールでは、CMEK を使用して特定のリソースを暗号化する必要があります。まず、次の手順をお試しください。
- Vertex AI データセットの CMEK を有効にする
- Vertex AI メタデータ ストアの CMEK を有効にする
- Vertex AI モデルの CMEK を有効にする
- Vertex AI Feature Store の CMEK を有効にする
- BigQuery テーブルの CMEK を有効にする
これらのコントロールを App Hub アプリケーションにデプロイする場合について、BigQuery テーブルはサポートされていません。
データ削除クラウド コントロールを使用して最大データ保持ポリシーを管理する
このコントロールは、機密データの保持期間を管理します。リソース(BigQuery テーブルなど)を選択し、リソースのいずれかが最大保持期間の制限に違反しているかどうかを検出するデータ削除に関するクラウド コントロールを適用できます。
サポートされているアセットタイプには、次のものがあります。
- BigQuery のデータセットとテーブル
- Vertex AI のモデル、データセット、特徴ストア、メタデータ ストア
このコントロールを App Hub アプリケーションにデプロイする場合について、BigQuery のテーブルとデータセットはサポートされていません。
Sensitive Data Protection で DSPM を使用する
DSPM は Sensitive Data Protection と連携します。Sensitive Data Protection は組織内の機密データを検出します。また、DSPM を使用すると、機密データにデータ セキュリティに関するクラウド コントロールをデプロイして、セキュリティとコンプライアンスの要件を満たすことができます。
次の表には、データ検出に Sensitive Data Protection を使用し、ポリシーの適用とセキュリティ ポスチャーの管理に DSPM を使用する方法についての説明を記載しています。
| サービス | Sensitive Data Protection |
DSPM |
|---|---|---|
| データのスコープ | Google Cloudのストレージ内の機密データ(PII やシークレットなど)を検出して分類します。 |
分類された機密データに関連するセキュリティ ポスチャーを評価します。 |
| コアアクション | 機密データをスキャン、プロファイリング、匿名化します。 |
ポリシーを適用、モニタリング、検証します。 |
| 検出結果の焦点 | 機密データの場所(BigQuery、Cloud Storage など)に関するレポート。 |
データが公開されている理由に関するレポート(パブリック アクセス、CMEK の欠落、過剰な権限など)。 |
| 統合 | 機密性と分類のメタデータを DSPM に提供します。 |
Sensitive Data Protection のデータを使用して、セキュリティ コントロールとリスク評価を適用しモニタリングします。 |