データ セキュリティ ポスチャー管理を使用する

このドキュメントでは、データ セキュリティ ポスチャー管理（DSPM）を有効にして使用する方法について説明します。

DSPM を有効にする

DSPM は、Security Command Center の有効化中または有効化後に有効にできます。

組織レベルで DSPM を有効にするには、次の操作を行います。

1. DSPM を有効にするために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

   • 組織管理者（roles/resourcemanager.organizationAdmin）
   • セキュリティ センター管理者（roles/securitycenter.admin）

   ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

   必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

2. 次のいずれかの方法で DSPM を有効にします。

   シナリオ	手順
   Security Command Center を有効にしていないか、Security Command Center スタンダード ティアを使用しており、Security Command Center のプレミアム ティアを使用したい。	DSPM を有効にするには、組織で Security Command Center Premium を有効にします。
   Security Command Center を有効にしておらず、Security Command Center Enterprise ティアを使用したい。	Security Command Center Enterprise を有効にすることで、DSPM を有効にします。
   Security Command Center プレミアム ティアを以前に有効にしており、DSPM を有効にしたい。	[設定] ページで DSPM を有効にします。 [設定] ページに移動
   Security Command Center Enterprise ティアを以前に有効にしており、DSPM を有効にしたい。	[DSPM を有効にする] ページで DSPM を有効にします。 [DSPM を有効にする] に移動

   Security Command Center のティアの詳細については、Security Command Center のサービスティアをご覧ください。

3. DSPM で保護するリソースの検出を有効にします。

DSPM を有効にすると、次のサービスも有効になります。

• コンプライアンス マネージャー: データ セキュリティ フレームワークとクラウド制御を作成、適用、管理します。
• Sensitive Data Protection: デフォルトのデータリスク評価にデータ機密性シグナルを使用します。
• 組織レベルの Event Threat Detection（Security Command Center の一部）: データアクセス ガバナンス クラウド制御とデータフロー ガバナンス クラウド制御を使用します。
• AI 保護: AI ワークロードのライフサイクルを保護します（Security Command Center エンタープライズ ティアのみ）。

組織にデータ セキュリティとプライバシーの基本フレームワークが自動的に適用されます。

DSPM サービス エージェント（service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com）は、DSPM を有効にすると作成されます。

DSPM の Identity and Access Management ロールについては、組織レベルで有効にする Identity and Access Management をご覧ください。

VPC Service Controls 境界に対する DSPM のサポート

VPC Service Controls の境界を含む組織で DSPM を有効にする場合は、次の点を考慮してください。

• Security Command Center の制限事項を確認します。

• すべてのリソースが組織レベルにあるため、境界を使用して DSPM リソースを保護することはできません。DSPM 権限を管理するには、IAM を使用します。

• DSPM は組織レベルで有効になっているため、サービス境界内のデータリスクと違反を検出できません。アクセスを許可するには、次の操作を行います。

  1. 組織レベルで VPC Service Controls を構成するために必要なロールがあることを確認します。

  2. 次の上り（内向き）ルールを構成します。

  - ingressFrom:
    identities:
    - serviceAccount: DSPM_SA_EMAIL_ADDRESS
    sources:
        - accessLevel: "*"
    ingressTo:
      operations: "*"
      resources: "*"
  

  DSPM_SA_EMAIL_ADDRESS は、DSPM サービス エージェント（service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com）のメールアドレスに置き換えます。

  サービス エージェントに必要な IAM ロールは、DSPM を有効にすると付与され、サービス エージェントに実行を許可するオペレーションを決定します。

  上り（内向き）ルールの詳細については、上り（内向き）ポリシーと下り（外向き）ポリシーの構成をご覧ください。

DSPM ダッシュボードを使用する

ダッシュボードを使用してセキュリティ ポスチャーを分析するには、次の操作を行います。

1. DSPM ダッシュボードを使用するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

   • データ セキュリティ ポスチャー管理の管理者（roles/dspm.admin）
   • セキュリティ センター管理者（roles/securitycenter.admin）
   • 読み取り専用権限の場合:
     • データ セキュリティ ポスチャー管理閲覧者（roles/dspm.viewer）
     • セキュリティ センター管理閲覧者（roles/securitycenter.adminViewer）

   ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

   必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

2. データ検出とリスク分析には、DSPM ダッシュボードを使用します。DSPM を有効にすると、環境がデータ セキュリティとプライバシーの基本フレームワークにどのように適合しているかをすぐに評価できます。

   コンソールで、[データ セキュリティとコンプライアンス] の [データ保護] タブをクリックします。

   データ セキュリティ ダッシュボードに移動

   次の情報が使用できます。

   • データマップ エクスプローラ
   • データ セキュリティに関する検出結果
   • 適用されたデータ セキュリティ管理とフレームワークに関する分析情報

   この情報を使用して、環境がセキュリティとコンプライアンスの要件に沿うように、検出結果を確認して修正します。

   組織レベルでダッシュボードを表示し、アプリケーション管理用に構成されたフォルダにアプリケーションをデプロイすると、アプリケーションを選択してダッシュボードをフィルタし、そのアプリケーションに適用される結果と分析情報のみを表示できます。データを確認する際は、次のスキャン レイテンシを考慮してください。

   • 上位の検出結果パネルに、古いリソース構成データが表示されることがあります。たとえば、検出結果のプライマリ リソースが古いアプリケーションに関連付けられている場合があります。
   • アプリケーション セレクタに、過去 24 時間以内に作成されたアプリケーションとリソース登録が表示されないことがあります。

   Security Command Center を有効にしてから、データマップ エクスプローラに Security Command Center と Cloud Asset Inventory のすべてのデータが入力されるまでに 24 時間ほどかかることがあります。

カスタムデータ セキュリティ フレームワークを作成する

必要に応じて、データ セキュリティとプライバシーの基本フレームワークをコピーし、データ セキュリティとコンプライアンスの要件を満たすようにカスタマイズします。手順については、フレームワークを適用するをご覧ください。

高度なデータ セキュリティ クラウド コントロールをデプロイする

必要に応じて、カスタム フレームワークに高度なデータ セキュリティ クラウド コントロールを追加します。これらのコントロールをデプロイするには、追加の構成が必要です。クラウド制御とフレームワークをデプロイする手順については、フレームワークを適用するをご覧ください。

高度なデータ セキュリティ クラウド コントロールを含むフレームワークは、アプリケーション管理用に構成されたフォルダ内の組織、フォルダ、プロジェクト、App Hub アプリケーションにデプロイできます。アプリケーションに対して高度なデータ セキュリティ クラウド コントロールをデプロイするには、フレームワークにこれらのコントロールのみを含めることができます。クラウド コントロールでモニタリングするアプリ対応フォルダとアプリケーションを選択する必要があります。ホスト プロジェクトまたは単一プロジェクト境界内のアプリケーションはサポートされていません。

次の点を考慮してください。

• 制限については、各高度なデータ セキュリティ クラウド コントロールの情報をご覧ください。

• 次のテーブルの説明に沿って、各ルールのタスクを完了します。

  ルール	追加構成
  データアクセス ガバナンス クラウド コントロール	Cloud Storage と Vertex AI（環境で該当する場合）のデータアクセス監査ログを有効にします。 データアクセス権限タイプを DATA_READ に設定します。データアクセス ガバナンス クラウド コントロールを適用する場所に応じて、組織レベルまたはプロジェクト レベルでデータアクセス ログを有効にします。 承認されたプリンシパルのみが監査ロギングから除外されていることを確認します。監査ロギングから除外されたプリンシパルは、DSPM からも除外されます。 次のいずれかの形式を使用して、許可するプリンシパルを 1 つ以上（最大 200 個のプリンシパル）追加します。 ユーザーの場合: principal://goog/subject/USER_EMAIL_ADDRESS 例: principal://goog/subject/alex@example.com グループの場合: principalSet://goog/group/GROUP_EMAIL_ADDRESS 例: principalSet://goog/group/my-group@example.com
  データフロー ガバナンス クラウド コントロール	Cloud Storage と Vertex AI（環境で該当する場合）のデータアクセス監査ログを有効にします。 データアクセス権限タイプを DATA_READ に設定します。データアクセス ガバナンス クラウド コントロールを適用する場所に応じて、組織レベルまたはプロジェクト レベルでデータアクセス ログを有効にします。 承認されたプリンシパルのみが監査ロギングから除外されていることを確認します。監査ロギングから除外されたプリンシパルは、DSPM からも除外されます。 Unicode 共通地域データ リポジトリ（CLDR）で定義されている国コードを使用して、許可する国を指定します。
  データ保護と主要なガバナンス クラウド コントロール	BigQuery と Vertex AI で CMEK を有効にします。
  データ削除クラウド コントロール	保持期間を設定します。たとえば、90 日間の保持期間を秒単位で設定するには、保持期間を 777600 に設定します。

次のステップ

• データ セキュリティに関連する検出結果を確認する。