こんにちは！

今回は私の先輩、りなぺんさんが趣味で作成された資料をもとに、Cloud DLP（データ損失防止）に関する記事をお届けします。

私は普段りなぺんさんの隣の席で仕事をしているのですが、先日、何気なく会話していたら

信じられないほど分かりやすい資料がりなぺんさんの「おもちゃ」フォルダの中に眠っていることが発覚しました…

※「おもちゃ」フォルダ：りなぺんさんによる、りなぺんさんのための趣味のフォルダ

「こんなわかりやすい資料、世に出さないのはもったいない！」

そう私が熱弁したところ、「じゃあ、記事にしてみれば？」と快く資料を共有してくださったので、

ブログ記事にまとめたいと思います！

このブログでは、りなぺんさんの資料をもとに、Cloud DLPについて分かりやすく解説していきます。

データ保護に関心のある方、Google Cloud のサービスをもっと知りたい方は、ぜひ最後までご覧ください。

1. データ保護の重要性

デジタルトランスフォーメーション（DX）が進む現代では、企業が扱うデータ量が爆発的に増加しています。

同時に、すべてのデータをビジネスに活用したいというニーズも高まっています（例: 売上向上、AI活用など）。

しかし、そのすべてのデータは本当に安全でしょうか？
意図せず機密情報が混入してしまったり、開発環境や非構造化データの中に隠れていたりするケースが少なくありません。

また、個人情報保護法や業界基準といったコンプライアンス要件は年々厳しくなっており、違反時のリスクは甚大です。

このように、企業は「どこに」「どんな」機密データがあるのかを、もはや手動では把握できない状況に直面しています。

そこで重要となるのが、データ保護の自動化です。

この仕組みは、大きく分けて「検査」と「検出」の2つから成り立っています。

　・検査（アクション）: どこを調べるか、データ全体をスキャンする行為そのものです。

　・検出（ルール）: 何を探すか、スキャンの中で機密情報を探すためのルールです。

この仕組みを利用することで、「機密データの存在を正確に自動で把握」することが可能になります。

・検出・分類
テキストや画像など、さまざまなデータの中から、マイナンバーやクレジットカード番号といった150種類以上の機密情報を高精度で自動的に探し出します。

・保護（匿名化）
発見した機密情報に対し、マスキングやトークン化（別の値に置き換える）といった処理を施し、データを安全な状態に変換します。

このサービスは、Cloud StorageやBigQueryといったGoogle Cloudサービス上に保存されているデータに適用できるだけでなく、
APIを利用することでオンプレミスや他のクラウドサービス上のデータにも適用可能です。

Cloud DLPを使用するメリット

Cloud DLPを導入することで、以下の5つのメリットを享受できます。

・漏洩リスクの低減：
外部攻撃や内部の操作ミスによる機密データの流出を自動で防ぐことができます。

・法規制への対応：
個人情報保護法やGDPRなどの法規制への対応を支援し、監査にかかる負担を軽減します。

・安全なデータ活用：
データを匿名化し、開発、テスト、分析といったプロセスで安全に利用できるようになります。

・運用負荷・コスト削減：
インフラ管理が不要になるため、セキュリティ担当者の作業を効率化できます。

・データ資産の可視化：
「どこに」「どんな」機密データがあるかを正確に把握し、管理しやすくなります。

Cloud DLPは、単なる情報漏洩対策ツールにとどまりません。

コンプライアンスの遵守、安全なデータ活用、運用効率の向上といった、現代の企業が抱えるデータに関する多くの課題を解決することができます。

3. 活用シナリオ

Cloud DLPは、さまざまなシーンで活用できます。ここでは、3つの代表的なシナリオを解説します。

① ストレージ内の機密データを定期的にスキャン

Cloud Storageにアップロードされたファイルを、Cloud DLPが自動的にスキャンします。
個人情報が含まれていることを検知すると、管理者に通知が届く仕組みです。
これにより、意図しない機密データの混入を防ぐことができます。

② BigQuery上の個人情報をマスキング

データ分析基盤のBigQueryに保存されている顧客データ（氏名や電話番号など）を、Cloud DLPがマスキング（別の値に置き換え）します。
これにより、個人を特定できない安全な状態でデータをデータサイエンティストに提供でき、分析を効率的に進めることができます。

③ 本番データを安全なテストデータに変換

本番データベースのコピーから個人情報を匿名化し、本番環境に近いリアルなテストデータを自動生成します。
これを開発チームに提供することで、データの安全性を保ちながら、より質の高いテストが可能になります。

これらの活用シナリオは、Cloud DLPが単なるセキュリティツールではなく、企業のデータ活用を推進する上で不可欠なツールであることを示しています。

​Cloud DLPの「変換（匿名化）ジョブ」の具体的な実行例

1. 入力データ (before_data.csv)
   元のデータには、「氏名」「生年月日」「性別」といった個人情報に加え、機密情報である「電話番号」が含まれています。
   
2. APIリクエストの実行
   curlコマンドを使用して、変換内容を定義したJSONファイルをCloud DLPのAPIに送信します。このJSONファイル内では、どのストレージのどのファイル（gs://dlp-test01/before/data.csv）を対象にするか、どの情報（PHONE_NUMBER）を検出するか、そしてどのようなアクションを実行するかを定義します。
   
   変更処理のJSONを記載し処理を実行​
   curl -X POST \ ​
   -H “Authorization: Bearer $(gcloud auth print-access-token)” \​
   -H “x-goog-user-project: <PROJECT_ID>” \​
   -H “Content-Type: application/json; charset=utf-8” \​
   -d @dlp.json \
   “https://dlp.googleapis.com/v2/projects/<PROJECT_ID>/dlpJobs”
3. 変換後のデータ (after_data.csv)
   変換処理が実行されると、元のデータから「電話番号」の情報が削除され、代わりに[PHONE_NUMBER]という文字列に置き換えられています。これにより、個人を特定できる情報が削除され、データを安全に利用できるようになります。

このように、Cloud DLPはAPIを利用することで、プログラムから自動的にデータの匿名化処理を実行できるため、大規模なデータや継続的に発生するデータに対しても効率的にデータ保護を適用することが可能です。