『Google Cloud で機密データを適切に取り扱う方法』を学びました!#GoogleCloudNext

クラスメソッド Google Cloud Advent Calendar 2021の7日目の記事として『Google Cloud 21 Recap: Japan』で公開されたセッションをご紹介します。 今回は、Google Cloud で機密データを適切に取り扱う方法についてのセッションのレポートです。
2021.12.07

アライアンス統括部のさいちゃんです!

この記事は クラスメソッド Google Cloud Advent Calendar 2021の7日目の記事です。

今回は以前開催された『Google Cloud Next ’21 Recap: Japan』 で紹介された、セッシらョンの中から気になるものをご紹介して行きます。

セッション概要

今回は『Google Cloud で機密データを適切に取り扱う方法』と題して様々な方法やユースケースを紹介してくれるセッションです。

登壇者はGoogleCloud カスタマーエンジニア 車谷テリー 氏です。

はじめに

現在ではデータは皆さんの会社に利益をもたらす、重要な資産の一つであると言えます。

しかし、同時に最大のビジネスリスクにもなりえます。例えば個人情報のの流失がビジネス上の大きな問題となってしまう、といった場合です。

では大切なデータをどのように守ればよいのでしょうか?このセッションでは

  • 検出し、分類する
  • データリスクを管理する
  • 結果に集中

という3つの観点からデータセキュリティに関して紹介をしてくれています。

自動化

データを知る

データを守るためには、まずそのデータがどこにあるのかを知ることが重要になってきます。しかし、企業のデータは年々増えていきます。増え続けるデータすべてに手動で対応することはとても困難になってくるでしょう。
そこで必要になってくるのが、データを自動的に検出、分類することのできる方法です。

  • 自動検出
  • 自動検査
  • 自動分類
  • 自動データプロファイリング

これらの自動DLP(Deta Loss Prevention)機能について詳しく見ていきます。

Big Queryとデータ保護

上記で説明したような、自動DLP機能は、BigQueryで使うことが可能です。これはClod DLPの基盤を利用して作られた機能です。
この機能を利用して、BigQuery上の大量データに対して、リスクがあるのか?あるとすればどこにあるのか?という理解を深めることが可能です。

また、BigQuery内のすべてのデータに対してテーブルごと、列ごとに詳細な分析をすることも可能になります。

自動DLPの特徴4つ

  • 継続的モニタリング

新しいデータは自動的に検出されるようになっている。

  • 低いオーバーヘッド

マネージドサービスのため実行の際のジョブの管理等が不要になっている。すべてクラウドコンソールから操作が可能。

  • データの所在地

データが保存される場所で、データの処理が行われる。

  • Googleにお任せ


上記で説明したことはずべてGoogle側がやってくれるので、ユーザーは結果のみに集中できる。

この機能を活用することで組織全体の可視化を自動化することができるので、データがどこにあるのかっといった情報を探す時間が必要がなくなるため、情報をもとに次に何をすればよいのかという部分に集中することが可能になります。

自動DLPの詳しい使い方のデモもこのセッションでしてくれていました。

リスクの管理

列レベルでのアクセスポリシー

BigQueryではタグを使い、ポリシーを適用させることができます。そのため、きめ細かなアクセス制御が可能です。さらに管理の手軽さも両立することが可能です。

例えば、個人情報データを列ごとにタグを使いポリシーを適用することによって、「電話番号にはアクセスできても、カード情報にはアクセスできないようにする」というように、情報にアクセスできる人をより細かく制限することが可能になるわけです。

匿名化機能

  • 秘匿化
  • マスキング
  • 仮名化
  • トークン化
  • フォーマット保持暗号化
  • 日付シフト
  • バケット化

など、様々な変換機能があり、内容を極力保持したまま、データを保護するといったことが可能になっています。

機密データの保護と処理の実行

Confidential processing

これは、処理の最中でもデータを暗号化することができる、非常に機密性の高い用途むけのモノになります。

例えばdataprocを利用するときにはコマンドラインに一つオプションを書き加えるだけですぐに有効化され、Confidential dataproc として使用することができるようになっています。

このConfidential dataprocは一般提供が開始されました。Confidential DataprocではDataprocをConfidential VMs 上で利用することで、処理中のメモリ上での暗号化を提供しています。

まとめ

今回紹介された自動DLPとConfidential processingに関してはgoogleに詳しい資料も用意されているので、興味がある方はこちらもぜひご覧ください。