始める前に
- ラボでは、Google Cloud プロジェクトとリソースを一定の時間利用します
- ラボには時間制限があり、一時停止機能はありません。ラボを終了した場合は、最初からやり直す必要があります。
- 画面左上の [ラボを開始] をクリックして開始します
12
Mitigating Security Vulnerabilities on Google Cloud - 日本語版
700 以上のラボとコースにアクセス
DLP API を使用して機密データを秘匿化する
ラボの手順とタスク
700 以上のラボとコースにアクセス
概要
このラボでは、Cloud Data Loss Prevention API(DLP API)を設定し、API を使用して文字列データに含まれる機密情報を検査します。DLP API は、機密データを適切に把握して管理するうえで役立ちます。
DLP API では、機密データの要素(クレジット カード番号、氏名、社会保障番号、米国および一部の国の身分証明書番号、電話番号、Google Cloud 認証情報など)を、高速かつスケーラブルに分類して秘匿化できます。
目標
このラボでは、次の方法について学びます。
- DLP API を有効にする
- Node JS DLP API とサンプルをインストールする
- 文字列データに含まれる機密データを検査する
- 文字列データや画像に含まれる機密データを秘匿化する
設定と要件
各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。
-
Qwiklabs にシークレット ウィンドウでログインします。
-
ラボのアクセス時間(例:
1:15:00)に注意し、時間内に完了できるようにしてください。
一時停止機能はありません。必要な場合はやり直せますが、最初からになります。 -
準備ができたら、[ラボを開始] をクリックします。
-
ラボの認証情報(ユーザー名とパスワード)をメモしておきます。この情報は、Google Cloud Console にログインする際に使用します。
-
[Google Console を開く] をクリックします。
-
[別のアカウントを使用] をクリックし、このラボの認証情報をコピーしてプロンプトに貼り付けます。
他の認証情報を使用すると、エラーが発生したり、料金の請求が発生したりします。 -
利用規約に同意し、再設定用のリソースページをスキップします。
タスク 1. DLP API を有効にする
このタスクでは、[API とサービス] で DLP API を有効にします。
- ナビゲーション メニュー > [API とサービス] の順に移動します。
- [API とサービスの有効化] ボタンをクリックします。
- [API とサービスを検索] で「
DLP」と入力し、[Cloud Data Loss Prevention(DLP)API] のタイトルをクリックします。
- [有効にする] ボタンをクリックし、DLP API を有効にします。 API がすでに有効になっている場合は、[管理] ボタンが表示され、[API が有効です] というメッセージが表示されます。その場合は何もする必要はありません。
タスク 2. DLP API と Node JS のサンプルをインストールする
このタスクでは、Node JS DLP API とサンプルをダウンロードして、必要な依存関係をインストールします。
-
Google Cloud コンソールのタイトルバーで、「Cloud Shell をアクティブにする」アイコン()をクリックして Cloud Shell を開きます。画面の指示に従って [続行] をクリックします。しばらくすると、ブラウザ ウィンドウの下部にターミナルが表示されます。
-
次のコマンドを実行して環境変数
GCLOUD_PROJECTを作成し、これをプロジェクト ID に設定します。
- Cloud Shell で次のコマンドを実行して、Node JS DLP API とサンプルをダウンロードします。
- ダウンロードが完了したら、nodejs-docs-samples/dlp ディレクトリに移動します。
このフォルダには、複数の Node JS DLP サンプル プログラムがあります。これらのプログラムを実行する前に、依存関係をインストールする必要があります。
- 次のコマンドを実行して、必要な依存関係をインストールします。
タスク 3. 機密データの検査と秘匿化
このタスクでは、文字列に含まれる機密情報を検査してマスキングします。また、DLP API を使用して画像内の機密データを秘匿化します。
文字列に含まれる機密情報を検査する
- Cloud Shell で次のコマンドを実行します(プロンプトが表示されたら、[承認] をクリックします)。
次の出力が表示されます。
出力:
この結果は、検出されたセンシティブ データ、情報のタイプ、そして API がどの程度確実にその情報タイプを特定したかを示しています。
- Cloud Shell で、次のコマンドを実行します。
次の出力が表示されます。
出力:
-
inspectString.js プログラムに、さまざまな値を入力して試してみてください。たとえば、「
1234-5678-9876-5432」や「123-45-6789」などの値を渡してみます。
文字列に含まれる機密情報をマスキングする
- Cloud Shell で、次のコマンドを実行します。
次の出力が表示されます。
出力:
画像内の機密情報を秘匿化する
ここでは、DLP API を使用して、画像内の機密情報を秘匿化します。
- 下の画像を右クリックして、[名前を付けて画像を保存]を選択してください。パソコンでローカルに
dlp-input.pngとして保存します。
- ターミナルの上部にあるバーで、右上にある [さらに表示] アイコン(縦に並んだ 3 つの点のアイコン)をクリックし、[アップロード] を選択します。
[アップロード] をクリックできない(グレー表示されている)場合は、[再起動] をクリックします。Cloud Shell 環境を再起動すると、[アップロード] のリンクが有効になります。
ラボの次のステップを開始する前に、次のコマンドを実行します。
-
[ファイル選択] をクリックし、ダウンロード済みの dlp-input.png 画像ファイルを選択して、Cloud Shell に [アップロード] します。
-
Cloud Shell から [エディタを開く] をクリックすると、ファイル ブラウザを備えた Cloud Shell コードエディタが起動します。
-
Cloud Shell コードエディタの左側に、dlp-input.png ファイルが表示されます。
-
dlp-input.png ファイルをクリックして画像を表示し、ファイルがアップロードされたことを確認します。
-
Cloud Shell で [ターミナルを開く] をクリックすると、ターミナル ウィンドウに戻ります。
-
ターミナルで次のコマンドを実行し、画像に含まれるメールアドレスの値を秘匿化します。
-
[エディタを開く] をクリックします。
-
Cloud Shell コードエディタの左側で、dlp-redacted.png ファイルをクリックします。
ドメイン名が秘匿化された画像が表示されます。
redact API の呼び出し時に、秘匿化する infoType として EMAIL_ADDRESS を指定しました。画像を見ると、メールアドレスが非表示になっていることがわかります。
お疲れさまでした
このラボでは次の作業を行いました。
- DLP API を有効にする
- Node JS DLP API とサンプルをインストールする
- 文字列データに含まれる機密データを検査する
- 文字列データや画像に含まれる機密データを秘匿化する
ラボを終了する
ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Cloud Skills Boost から削除され、アカウントの情報も消去されます。
ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。
星の数は、それぞれ次の評価を表します。
- 星 1 つ = 非常に不満
- 星 2 つ = 不満
- 星 3 つ = どちらともいえない
- 星 4 つ = 満足
- 星 5 つ = 非常に満足
フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。
フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。
Copyright 2020 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。
