メソッドタイプ

Sensitive Data Protection には、データの検査、変換（匿名化）、検出、分類に使用できる、さまざまなタイプのメソッドが含まれています。 これらの メソッドを使用して、 の内外でデータをスキャンし、さまざまなタイプのワークロードに対して Sensitive Data Protection の 動作を最適化できます。 Google Cloud

Sensitive Data Protection には次のメソッドタイプがあります。

• コンテンツ メソッド
• ストレージ メソッド
• ハイブリッド メソッド
• 検出メソッド

検査と匿名化のメソッド

このセクションでは、検査構成にリストされている情報タイプに一致する各データを特定し、必要に応じて 匿名化するために使用できるメソッドについて説明します。

コンテンツ メソッド

コンテンツ メソッドは同期型のステートレス メソッドです。検査または変換されるデータは、リクエストで直接 DLP API に送信されます。Sensitive Data Protection の検査結果や変換されたデータは、API レスポンスで返されます。リクエスト データは暗号化されて転送され、保存されません。

詳細については、コンテンツ メソッドの REST API リファレンスをご覧ください。

• content.inspect
• content.deidentify
• content.reidentify
• image.redact

ストレージ メソッド

BigQueryストレージ検査を有効にするには、Sensitive Data Protection ジョブを dlpJobs リソースを使用して作成します。各ジョブはマネージド サービスとして実行され、データを検査してから、 Sensitive Data Protection アクション（検出結果の保存や公開など）を実行します。これらのオプションのアクションに加えて、Sensitive Data Protection は、ジョブのステータス、スキャンしたバイト数、infoType ごとの検出結果の概要など、ジョブの詳細を作成して保存します。ジョブは、DLP API または コンソールのGoogle Cloud Sensitive Data Protectionを使用して管理できます。

詳細については、 projects.dlpJobs リソースの REST API リファレンスをご覧ください。ストレージの詳細は StorageConfig オブジェクトで指定します。

ハイブリッド メソッド

ハイブリッド メソッドは実質すべてのソースから送信されたデータのペイロードをスキャンし、機密情報を検出してその検出結果を Google Cloudに保存できるようにする一連の非同期 API メソッドです。ハイブリッド メソッドは、 コンテンツ メソッドと似ていますが、検査対象のデータが 1 つ以上の検査リクエストに含まれている点が異なります。ただし、 コンテンツ メソッドと異なり、ハイブリッド メソッドは API レスポンスで検査 結果を返しません。代わりに、検査結果は サーバーサイドで非同期に処理され、結果が表にまとめられ、 ストレージ メソッドに似た方法で保存されます。

ハイブリッド検査を有効にするには、dlpJobs リソースを使用して機密データの保護ジョブを作成します。各ハイブリッド ジョブは、検査リクエストをリッスンし、Sensitive Data Protection アクション（検出結果の保存や公開など）を実行するマネージド サービスとして実行されます。これらのオプションのアクションに加えて、Sensitive Data Protection は、ジョブのステータス、スキャンしたバイト数、infoType ごとの検出結果の概要など、ジョブの詳細を作成して保存します。ジョブは、DLP API または Google Cloud コンソールの Sensitive Data Protection を使用して管理できます。

詳細については、 projects.dlpJobs リソースの REST API リファレンスをご覧ください。データソースは、hybridOptions オブジェクトの StorageConfig フィールドで指定します。

検出メソッド

検出メソッドを使用すると、センシティブ データ 検出を構成してデータ プロファイルを生成できます。データ プロファイルは、組織内のセンシティブ データの保存場所、保存しているセンシティブ データの種類、そのデータにアクセス制御が設定されているかどうかを判断するのに役立つ分析情報を提供します。

BigQuery、Cloud SQL、Cloud Storage、Vertex AI などのシステムで に保存されているデータをスキャンするように検出を構成できます。 Google Cloud Security Command Center Enterprise を有効にしている場合は、Sensitive Data Protection を使用して他のクラウド プロバイダのデータをスキャンすることもできます。

各検出スキャンの後に Sensitive Data Protection で実行するアクションを指定できます。たとえば、スキャン結果を Security Command Center や Google Security Operations などの他の Google Cloud サービスに送信して、組織のデータ セキュリティ体制の可視性を高めることができます。検出サービスを構成して、プロファイリングされたリソースにタグを付け、それらのリソースへの IAM アクセスを自動的に許可または拒否できます。データ プロファイルを BigQuery にエクスポートすることもできます。エクスポートしたプロファイルを Looker に接続して、 事前作成された レポートを表示できます。独自のカスタムクエリとレポートを作成することもできます。

検出を有効にするには、 DiscoveryConfig リソースを作成します。検出は、検出構成で設定したスコープと頻度に基づいて実行されます。Sensitive Data Protection で生成されたプロファイルが保存される場所については、データのロケーションに関する考慮事項をご覧ください。

検出構成、データ プロファイル、Cloud SQL 接続は、DLP API または Google Cloud コンソールを使用して管理できます。

詳細については、次の REST API リファレンスをご覧ください。

• 検出の構成

  • organizations.locations.discoveryConfigs
  • projects.locations.discoveryConfigs

• 接続

  接続は、Cloud SQL の 検出にのみ関連します。

  • organizations.locations.connections
  • projects.locations.connections

• データ プロファイル

  • organizations.locations.projectDataProfiles
  • projects.locations.projectDataProfiles
  • organizations.locations.fileStoreDataProfiles
  • projects.locations.fileStoreDataProfiles
  • organizations.locations.tableDataProfiles
  • projects.locations.tableDataProfiles
  • organizations.locations.columnDataProfiles
  • projects.locations.columnDataProfiles

次のステップ

• 入門ガイドを読み、テキストや画像に含まれるセンシティブ データの検査と、テキストや画像からのセンシティブ データの削除を開始する。
  • テキストに含まれるセンシティブ データの検査
  • 構造化テキストに含まれるセンシティブ データの検査
  • 画像に含まれるセンシティブ データの検査
  • 画像からのセンシティブ データの削除
  • センシティブ データの匿名化
• ストレージの検査とアクションの使用方法の詳細について、 ストレージとデータベースに保存されているセンシティブ データの検査を確認する。
• 機密データの検出について詳しくは、データ プロファイルをご覧ください。
• 詳しくは料金をご覧ください。