このドキュメントでは、データ セキュリティ ダッシュボードと、それを使用してデータ セキュリティ ポスチャーをモニタリングして分析する方法について説明します。
Security Command Center Standard ティアをご利用の場合は、限定的な DSPM 機能をご利用いただけます。
Google Cloud コンソールのデータ セキュリティ ダッシュボードでは、組織のデータがデータ セキュリティとコンプライアンスの要件にどのように準拠しているかを確認できます。
データ セキュリティ ダッシュボードのデータマップ エクスプローラには、データが保存されている地理的位置が表示されます。また、地理的位置、データの機密性、関連するプロジェクト、データを保存するGoogle Cloud サービスでデータをフィルタできます。データマップの円は、リージョン内のデータリソースとアラート付きのデータリソースの相対的な数を示しています。
データリソースがデータ セキュリティ クラウド制御に違反した場合に発生するデータ セキュリティに関する検出結果を表示できます。新しい検出結果が生成されてから、データマップ エクスプローラに表示されるまでに最大 2 時間を要する場合があります。
デプロイされたデータ セキュリティ フレームワーク、各フレームワークに関連付けられている未解決の検出結果の数、環境内のリソースのうち少なくとも 1 つのフレームワークでカバーされているリソースの割合に関する情報を確認することもできます。
(プレビュー)ダッシュボードには、潜在的なデータリスクを事前に特定するために使用できるデータ セキュリティ分析情報も表示されます。分析情報は、機密性の高いデータを含むリソースでのみ使用できます。リソースは Sensitive Data Protection でスキャンされ、結果を Security Command Center に公開するようにスキャンが構成されている必要があります。
ダッシュボードには次の情報が表示されます。
- 機密性の高いデータに最も頻繁にアクセスするユーザー。機密データに最も頻繁にアクセスするユーザーとサービス アカウントをハイライト表示する表。AI エージェントをフィルタできる AI 中心のビューが用意されています。デフォルトでは、表には AI エージェントのアクティビティのみが表示されます(存在する場合)。それ以外の場合、テーブルにはすべてのプリンシパルが表示されます。フィルタを切り替えて、すべてのアクセスを表示できます。表示されるデータは、Cloud Storage バケット、BigQuery テーブル、Gemini Enterprise Agent Platform リソースに限定されます。
- 国境を越えたアクセス(Cloud Storage バケット、BigQuery テーブル、Gemini Enterprise Agent Platform リソースのみに限定)。
- 国固有のセンシティブ データが関連付けられたリージョン外に保存されているインスタンス(すべての Google Cloudリソースに適用されます)。
ダッシュボードには、次のセキュリティ分析情報は含まれていません。
- CMEK で暗号化されたアセット
me-central2リージョンのリソース
DSPM ダッシュボードを使用する
ダッシュボードのコンテンツと機能は、Security Command Center の階層によって異なります。スタンダード ティアをご利用の場合は、スタンダード ティアのデータ セキュリティ ポスチャー管理の概要で、ダッシュボードで利用できる機能をご確認ください。
Security Command Center Premium ティアと Enterprise ティアのダッシュボードの詳細については、すべてのリスク ダッシュボードをご覧ください。
ダッシュボードを使用してセキュリティ ポスチャーを分析するには、次の操作を行います。
-
DSPM ダッシュボードを使用するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
- データ セキュリティ ポスチャー管理の管理者 (
roles/dspm.admin) - セキュリティ センター管理者 (
roles/securitycenter.admin) -
読み取り専用権限の場合:
- データ セキュリティ ポスチャー管理閲覧者 (
roles/dspm.viewer) - セキュリティ センター管理の閲覧者(
roles/securitycenter.adminViewer)
- データ セキュリティ ポスチャー管理閲覧者 (
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
- データ セキュリティ ポスチャー管理の管理者 (
- データ検出とリスク分析には、DSPM ダッシュボードを使用します。DSPM を有効にすると、環境がデータ セキュリティとプライバシーの基本フレームワークにどのように適合しているかをすぐに評価できます。
Google Cloud コンソールで、[データ セキュリティとコンプライアンス] ページに移動し、 Google Cloud 組織を選択します。組織を選択すると、[リスクの概要] ダッシュボードの [データ] タブにリダイレクトされます。
この情報を使用して、環境がセキュリティとコンプライアンスの要件に沿うように、検出結果を確認して修正します。
組織レベルでダッシュボードを表示し、アプリケーション管理用に構成されたフォルダにアプリケーションをデプロイすると、アプリケーションを選択してダッシュボードをフィルタし、そのアプリケーションに適用される結果と分析情報のみを表示できます。データを確認する際は、次のスキャン レイテンシを考慮してください。
- 上位の検出結果パネルに、古いリソース構成データが表示されることがあります。たとえば、検出結果のプライマリ リソースが古いアプリケーションに関連付けられている場合があります。
- アプリケーション セレクタに、過去 24 時間以内に作成されたアプリケーションとリソース登録が表示されないことがあります。
Security Command Center を有効にしてから、データマップ エクスプローラに Security Command Center と Cloud Asset Inventory のすべてのデータが入力されるまでに 24 時間ほどかかることがあります。