• Google Cloudに関する記事
6分で読める

BigQuery のセキュリティとアクセス管理のガイド

はじめに

このガイドでは、BigQuery におけるセキュリティとアクセス管理の重要性と、機能や設定について説明します。

BigQuery は、企業のデータウェアハウスとして活用されるため、データの安全性やアクセス制御が非常に重要です。適切なセキュリティ対策を講じることで、機密性の高い情報が不正にアクセスされるリスクを軽減し、企業の信頼性を保つことができます。

次のセクション以降では、IAM ポリシー、データの暗号化、VPC Service Controls、オーディットログなど、BigQuery のセキュリティ対策に役立つ機能や設定について詳しく解説します。これらの機能を適切に利用することで、データを安全に保管し、適切なユーザーがアクセスできるように制御することが可能です。

IAMポリシー

IAM(Identity and Access Management)ポリシーは、BigQuery におけるアクセス制御の主要な仕組みです。IAM ポリシーを使用することで、特定のユーザーやグループに対して、BigQuery リソースへのアクセス権限を付与・管理することができます。

IAMポリシーの設定方法

  1. GCP コンソールにログインし、左側のナビゲーションバーで「IAM & 管理」をクリックします。
  2. 「IAM」タブを選択すると、プロジェクトの IAM ポリシー一覧が表示されます。
  3. 「アクセス権を付与」ボタンをクリックすると、プロジェクトの権限設定ができる画面に遷移します。
  4. 「プリンシパルの追加」から権限を付与したいユーザー、グループ、サービスアカウントを追加できます。
  5. またこちらの設定画面から付与する「ロール(役割)」を設定したり、新しいロールを追加することができます。
  6. IAM の条件設定をすることで、付与する権限に対して時間やリソースで区切って条件を設定することが可能です。
  7. 「保存」ボタンをクリックして、設定を完了します。

BigQuery には、以下のような役割があります:

  • BigQuery Admin: BigQueryのすべてのリソースに対するフルアクセス権限を持ちます。
  • BigQuery Data Owner: データセットの作成、変更、削除など、データセットに対する全ての操作が可能です。
  • BigQuery Data Editor: データセット内のデータの追加、変更、削除が可能ですが、データセット自体の削除はできません。
  • BigQuery Data Viewer: データセット内のデータの閲覧のみが可能で、データの変更や削除はできません。
  • BigQuery Job User: クエリの実行やジョブの管理が可能ですが、データセットやテーブルに対する直接的なアクセス権限はありません。

 

IAM ポリシーを適切に設定することで、ユーザーやグループが持つべき最小限の権限を与えることができ、セキュリティリスクを軽減できます。特定のデータセットに対するアクセス制限を更に細かく設定する場合は、BigQuery のデータセットレベルのアクセス制御機能を利用することができます。

データの暗号化

BigQuery では、データの安全性を確保するために、データの暗号化が自動的に行われます。データは、次の 2 つの段階で暗号化されます。
 

休止中のデータ暗号化(At-Rest Encryption)

データが BigQuery のストレージに保存されている間、自動的に暗号化されます。Google は、Google Cloud Key Management Service (KMS) を利用して、データを暗号化するための暗号鍵を管理しています。デフォルトでは、Google が自動的に管理する鍵が使用されますが、より厳密な鍵管理が必要な場合は、独自のカスタム暗号鍵を作成し、BigQuery に適用することもできます。

通信中のデータ暗号化(In-Transit Encryption)

BigQuery へのデータの送信や、BigQuery からデータを取得する際にも、データは自動的に暗号化されます。通信中のデータ暗号化には、業界標準の SSL/TLS プロトコルが使用されています。これにより、ユーザーと BigQuery の間で送受信されるデータは、盗聴や改ざんのリスクを最小限に抑えることができます。通信中のデータ暗号化は、BigQuery API を使用したり、BigQuery Web UI やその他のクライアントツールからアクセスする場合でも適用されます。

これらの暗号化機能は、BigQuery が提供するデータ保護の基本的な機能であり、追加の設定や手順は必要ありません。ただし、特定の要件に応じて、鍵管理に関する設定をカスタマイズすることができます。例えば、Google Cloud KMS を使用して独自の暗号鍵を作成し、BigQuery のデータセットに適用することが可能です。
 

データの暗号化は、BigQuery のセキュリティ対策の一部として重要な役割を果たしています。IAM ポリシーや VPC Service Controls といった他のセキュリティ機能と組み合わせることで、データの保護とアクセス制御がより強化されます。これにより、組織は重要なデータを安全に保存し、適切なユーザーだけがアクセスできるように管理できます。

また、BigQuery のデータ暗号化機能は、企業が法規制や業界標準に準拠するために役立ちます。たとえば、EU一般データ保護規則(GDPR)やヘルスインシュアンス・ポータビリティ・アカウンタビリティ法(HIPAA)などの要件に対応するために、データの暗号化が求められることがあります。

VPC Service Controls

VPC Service Controlsは、Google Cloud プラットフォームのサービス間でのデータの流れを制御するためのセキュリティ機能です。BigQuery を含む GCP のサービスを利用する際に、VPC Service Controls を設定することで、データの漏洩や不正アクセスを防ぐことができます。

VPC Service Controls では、以下のような制御が可能です。

サービスへのアクセス制限

仮想プライベートクラウド(VPC)内のリソースや特定の IP アドレスからのみ、BigQuery へのアクセスを許可することができます。この機能を利用して、BigQuery と他の GCP サービスとのデータのやり取りをセキュアに管理することができます。

データのエクスポート制限

VPC Service Controls を使用すると、BigQuery からのデータのエクスポートを制限することができます。これにより、認証されたユーザーやサービスアカウントによるデータの誤ったエクスポートや不正なデータの漏洩を防ぐことができます。

データの移動制限

VPC Service Controls を設定することで、BigQuery 内でのデータの移動を制御することができます。例えば、特定のプロジェクトやデータセット間でのデータ移動のみを許可することができます。
 

VPC Service Controls を適切に設定することで、BigQuery のデータセキュリティを強化することができます。ただし、VPC Service Controls の設定は複雑であり、設定を誤るとデータアクセスが制限されてしまう可能性があるため、注意が必要です。VPC Service Controls の設定や管理に関する詳細は、公式ドキュメントを参照し、必要に応じて GCP のサポートチームや 弊社クラウドエースような GCPパートナーに相談してみてください。

クラウドエースへのご相談はこちらから
 

オーディットログ

オーディットログは、BigQuery 上で行われる操作やデータアクセスの監視に重要な役割を果たします。オーディットログを活用することで、組織はBigQuery でのアクティビティを追跡し、セキュリティインシデントや不正アクセスを検出することが容易になります。

BigQuery では、主に次の2種類のオーディットログが提供されています。

管理アクティビティログ(Admin Activity logs)

管理アクティビティログは、BigQuery で行われる管理操作(データセットの作成や削除など)に関する情報を記録します。これらのログはデフォルトで有効化されており、BigQuery に関連するすべてのプロジェクトで利用できます。

データアクセスログ(Data Access logs)

データアクセスログは、BigQuery 内のデータへのアクセス(クエリの実行やテーブルのエクスポートなど)に関する情報を記録します。ただし、データアクセスログはデフォルトでは無効化されており、有効化するには追加の設定が必要です。
 

オーディットログの活用により、組織は BigQuery でのアクティビティを監視し、不正アクセスやセキュリティインシデントを迅速に検出・対処することができます。これにより、データのセキュリティを維持し、組織の運用ポリシーや法規制に適したデータの活用が可能となります。

まとめ

データのセキュリティとアクセス制御は、ビジネス上の重要な懸念事項であり、BigQuery はこれらの要件を満たすために幅広い機能を提供しています。本ガイドでは、アクセス制御の設定、IAMポリシーの適切な管理、VPC Service Controls、オーディットログの活用方法などを解説しました。組織は、これらの機能を適切に利用することで、クラウドベースのデータウェアハウスを安心して運用し、分析やビジネスインテリジェンスの目的で利用することができます。

BigQuery のデータセキュリティとアクセス制御に関する詳細情報やサポートが必要な場合は、お気軽に弊社までお問い合わせください。私たちがご質問にお答えし、適切なソリューションを提案いたします。

お問い合わせ窓口はこちらから

この記事を共有する

合わせて読みたい