2023 年の BigQuery 権限管理

2023 年の BigQuery 権限管理 na0 酒とゲームとインフラとGCP 第18回

はじめのはじめに BigQuery はとても楽しい • 今日の話を知らなくても BigQuery を触り始めるのに差し支えなし！気楽に聞いてね • 49
ページ / 20 分 • 資料公開済み Twitter @ na0fu3y • この資料よりも公式ドキュメントが詳しく正しい想定読者 • BigQuery でデータを組織活用したい人 • セキュリティポリシーを BigQuery に適用したい人

ID • na0 • Naofumi Yamada • na0fu3y (Twitter /
GitHub) Google Cloud との関わり • 　Google Cloud Champion Innovator - Data Analytics • 　BigQuery ユーザコミュニティ BQ FUN 主催者趣味 • BigQuery • ボードゲーム • マリオカート8 デラックス自己紹介

背景 • データ活用とセキュリティのバランスが求められている • BigQuery はデータ活用とセキュリティに注力できるサービスメッセージ • BigQuery はアクセス制御・監査の多様なサービスと連携する
• 最初から完璧を目指さず、情報を集め、改善しよう今日のゴール • あの業務で使えるかも？を 1 つでも持ち帰ってもらう今日伝えること

目次 1. はじめに 2. BigQuery のアクセス制御 3. BigQuery の監査 4.
BigQuery のデータ検出 5. 権限設計案 6. おわりに前半 5 分後半 15 分

暗黙知 • 経験 • 勘形式×暗黙知 • AI • RPA
• 委託形式知 • 計測 • 集計 • 可視化データ活用の要請はじめに • 統計分析 • 自動化 • 品質管理業務効率化のために形式知化が進められている結果として、データ基盤を作る組織が増えている

セキュリティの要請はじめにセキュリティ・コンプライアンスも重要誰が、いつ、どこから、どのデータに　　　　　　　　　　　　したいデータ活用とのバランスアクセス可能かを設計アクセスしたかを記録機密性可用性誰もアクセスできないなら安全
誰でもアクセスできるなら活用しやすいより良いバランスを目指して解像度を高めるのが大事

BigQuery の概要はじめに Google Cloud のサーバーレスデータウェアハウス強み • 「利用者の管理が必須なもの」が少ない（データとアクセス制御）
• 大規模データの保存・分析 • 各種 Google プロダクトと連携この資料で取り上げること • Google Cloud のサービス群を組み合わせて、BigQuery の攻めと守りのバランスを柔軟に設計する • 今日は概要のみ、個別の詳細設計は専門家にお問合せ

BigQuery の権限管理はじめに BigQuery の権限管理は、以下の要素の集合アクセス管理誰がアクセスするかアクセス監査誰がアクセスしたかデータ検出
管理対象を網羅しているか

概要 BigQuery のアクセス制御アクセス管理誰がアクセスするかアクセス監査誰がアクセスしたかデータ検出管理対象を網羅しているか BigQuery
は様々なサービスを用いてアクセス制御できる • Cloud IAM • Cloud IAM 拒否ポリシー 2022 GA • BigQuery • Cloud KMS • VPC Service Controls • BigLake 2022 GA • Dataplex 2022 GA • Analytics Hub 2023 GA • Resource Manager 2023 GA

概要 BigQuery のアクセス制御アクセス管理誰がアクセスするかアクセス監査誰がアクセスしたかデータ検出管理対象を網羅しているか規模別のおすすめサービス
1. データ基盤利用者~30人 ◦ Cloud IAM ◦ BigQuery INFORMATION_SCHEMA 2. データ基盤利用者~99人 ◦ + BigQuery IAM ◦ + Cloud Logging ◦ （任意）+ BigQuery 承認済みデータセット or + BigQuery 列レベルセキュリティ 3. データ基盤利用者100~人 ◦ + VPC Service Controls ◦ + BigLake ◦ （任意）+ Dataplex ◦ （任意）+ Analytics Hub ◦ （任意）+ BigQuery 行レベルセキュリティ

Google Cloud の権限 BigQuery のアクセス制御 • 許可ポリシーに該当すれば許可 • 禁止ポリシーに該当すれば許可ポリシーによらず禁止
• ポリシーは子リソースに継承 https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy より図を引用

Organization Cloud IAM 「誰のどのサービスへの、読み書きを許可するか」を設定する。組織、フォルダ、プロジェクトレベルで設定できる。用途 • 組織やプロジェクトレベルで変動する大まかな権限設定 BigQuery のアクセス制御
Project - data source Project - free to use BigQuery BigQuery 読み +書き

Cloud IAM 拒否ポリシー 2022 GA 「誰のどのサービスへの、読み書きを禁止するか」を設定する。組織、フォルダ、プロジェクトレベルで設定できる。許可ポリシーより優先される。用途 •
親リソースで許可されたポリシーからの防御 BigQuery のアクセス制御 Organization Project - data source Project - data clean room BigQuery BigQuery 読み -読み

BigQuery 「誰のどの BigQuery オブジェクトへの、読み書きを許可するか」を BigQuery データセット、オブジェクト、列、行レベルで設定する。用途 • BigQuery オブジェクトレベルで管理すべき細部の権限設定
BigQuery のアクセス制御レベルアクセス制御データセット • BigQuery IAM • 承認済みデータセットオブジェクト • BigQuery IAM • 承認済み関数 / ビュー行 • 行レベルのアクセスポリシー列 • ポリシータグ • Cloud KMS

BigQuery BigQuery IAM 「誰のどの BigQuery オブジェクトへの、読み書きを許可するか」を BigQuery データセット、オブジェクトレベルで設定する。用途 •
データセット単位やテーブル単位で権限を変えたい場合 BigQuery のアクセス制御所属事業データはアクセス可別事業データはアクセス権なし

BigQuery 承認済みデータセット、ビュー、関数ソースデータへのアクセス許可なく、ビューや関数の結果を共有する。用途 • 一部の列や行を隠したり、加工して見せたい BigQuery のアクセス制御アクセス権限なし加工ビュー
未加工データアクセス可

BigQuery 行レベルのアクセスポリシー「誰のどのテーブル行への、読みを許可するか」を設定する。用途 • メンバーとマネージャーで閲覧できる行を増減する BigQuery のアクセス制御
https://cloud.google.com/bigquery/docs/row-level-security-intro より図を引用

BigQuery ポリシータグ「誰のどのテーブル列への、読みを許可するか」を設定する。用途 • 一部の列の閲覧者を制限したい BigQuery のアクセス制御 https://cloud.google.com/bigquery/docs/column-data-masking-intro
より図を加工

Cloud KMS 「テーブル列を暗号化し、鍵のアクセス権による復号権限」を追加管理する。用途 • BigQuery 外で暗号化したデータを読む BigQuery
のアクセス制御 https://cloud.google.com/bigquery/docs/column-key-encrypt より図を引用

VPC Service Controls 「ネットワークやサービスをどう横断する、読み書きを許可・禁止するか」をプロジェクト、 VPC ネットワークレベルで設定する。用途 • 信頼できる経路のみ、リソースの移動を許可する
BigQuery のアクセス制御機密情報 BigQuery オフィス承認済みソースIP 自宅や外出先未承認ソースIP BigQuery Cloud Storage Cloud Storage

BigLake 2022 GA BigQuery の外のリソースへのアクセス許可を、 BigQuery に委任する。用途 • 権限管理をサービスアカウントレベルから
BigQuery オブジェクトレベルに寄せる BigQuery のアクセス制御 https://cloud.google.com/bigquery/docs/biglake-intro より図を引用

Dataplex 2022 GA 「誰の、どのサービスへの、読み書きを許可するか」を Dataplex リソースレベルで設定する。用途 • プロジェクト横断のビジネスドメインやデータ信頼度レベルでの整理 BigQuery
のアクセス制御 https://cloud.google.com/dataplex/docs/introduction より図を引用

Analytics Hub 2023 GA 「誰の、BigQuery のデータセットへの、読みを許可するか」を BigQueryデータセットに対応するListingレベルで設定する用途 • 組織間のデータ交換
BigQuery のアクセス制御 https://cloud.google.com/analytics-hub より図を引用

Resource Manager 2023 GA 「誰の、どのサービスへの、読み書きを許可するか」を設定する。組織、フォルダ、プロジェクト、BigQuery データセットレベルで設定できる。用途 •
BigQuery 以外のリソースも含めた一貫管理 BigQuery のアクセス制御 https://cloud.google.com/resource-manager/docs/tags/tags-overview より画像を引用

注意 BigQuery のアクセス制御 BigQuery の機能を活用しすぎず、組み合わせ爆発しない権限設計を心がける例 • 全社の大まかな権限設定は、大きめに行う ◦
プロジェクト × ユーザー単位 ◦ データセット × Google グループ単位 • 最も厳しいセキュリティポリシーにのみ対応する専門チームを作り、VPC Service Controlsを用いたセキュアゾーンを作る

まとめ BigQuery のアクセス制御 BigQuery は様々な方法でアクセス制御できるサービス概要 Cloud IAM 誰の、どのサービスへの、読み書きを許可するか
Cloud IAM 拒否ポリシー 2022 GA 誰の、どのサービスへの、読み書きを禁止するか BigQuery 誰の、どの BigQuery オブジェクトへの、読み書きを許可するか Dataplex 2022 GA 誰の、どの BigQuery・Cloud Storage オブジェクトへの、読み書きを許可するか Resource Manager 2023 GA 誰の、どのサービス、 BigQuery データセットへの、読み書きを許可するか Analytics Hub 2023 GA 誰の、BigQuery のデータセットへの、読みを許可するか VPC Service Controls ネットワークやサービスをどう横断する、読み書きを許可するか BigLake 2022 GA BigQuery の外のリソースへの読みの許可を、 BigQuery に委任する

BigQuery の監査アクセス管理誰がアクセスするかアクセス監査誰がアクセスしたかデータ検出管理対象を網羅しているか概要 BigQuery
のアクセス監査に使えるサービス • BigQuery • Cloud Logging

BigQuery INFORMATION_SCHEMA ビューを用いて SQL で監査できる BigQuery の監査 JOBS_BY_* BigQuery ジョブの現在の状態
を確認できる誰が使っているか確認 OBJECT_PRIVILEGES BigQuery オブジェクトに設定されているアクセス制御を確認できる正しく設定されているか確認用途 • オーナー権限が過剰についていないか確認する – 例）オーナー権限がついている数を確認 SELECT COUNTIF(privilege_type = "roles/bigquery.dataOwner") FROM myproject.`region-us`.INFORMATION_SCHEMA.OBJECT_PRIVILEGES WHERE object_name = "mydataset"

Cloud Logging 監査ログ管理アクティビティやデータアクセスのログが書き込まれる（データアクセス監査ログは有効化が必要）。「誰が、いつ、どこで、何をしたか」が確認できる。用途 • どのテーブルやクエリが最も主流か確認する •
データコネクタを用いて参照しているスプレッドシートを特定する BigQuery の監査

BigQuery のデータ検出アクセス管理誰がアクセスするかアクセス監査誰がアクセスしたかデータ検出管理対象を網羅しているか概要 BigQuery
のデータ検出に使えるサービス • Dataplex • Cloud DLP 用途 • 届きにくいデータへのショートカットとしてカタログ • 個人情報の含まれるデータを自動で特定する https://cloud.google.com/bigquery/docs/data-governance より図を引用

BigQuery のデータ検出 Dataplex 2022 GA https://cloud.google.com/data-catalog/docs/concepts/overview, https://cloud.google.com/dataplex/docs/data-profiling-overview より図を引用メタデータの管理、検索、データプロファイリングを行う。（Data
Catalog は Dataplex に統合）

BigQuery のデータ検出 Cloud DLP https://cloud.google.com/dlp より図を引用データの検出、分類、機密の秘匿化を行う。

前半のまとめ BigQuery の権限管理は、以下の要素の集合バランスよく取り入れようアクセス管理アクセス監査データの検出 × × 誰がアクセスするか
Cloud IAM など誰がアクセスしたか Cloud Logging など管理対象を網羅しているか Cloud DLP など

概要 BigQuery の権限設計のアイデア複数企業事例を踏まえたダミー情報です。 na0 チャート 1. データ基盤利用者~30人 ◦ Cloud
IAM ◦ BigQuery INFORMATION_SCHEMA 2. データ基盤利用者~99人 ◦ + BigQuery IAM ◦ + Cloud Logging ◦ （任意）+ BigQuery 承認済みデータセット or + BigQuery 列レベルセキュリティ 3. データ基盤利用者100~人 ◦ + VPC Service Controls ◦ + BigLake ◦ （任意）+ Dataplex ◦ （任意）+ Analytics Hub ◦ （任意）+ BigQuery 行レベルセキュリティ権限設計案

データ基盤の素各自が手元でデータを読み書きする。権限設計案 Google Workspace Local Local 売上_最終版_v3.xlsx 売上_最終版_v2_のコピー（経理確認済み .xlsm
社内閲覧者うまいことデータ提供社員名簿_2023_Q2.docx 稟議書テンプレート (2).xls

個人データ基盤権限設計案管理者自由なプロジェクト BigQuery Google Cloud プロジェクトを作成して、1人でデータを読み書きする。管理者 1
人主なサービス Cloud IAM Google Workspace

小さなデータ基盤データ利用の布教活動。管理者 2~9 人主なサービス Cloud IAM 権限設計案管理者
自由なプロジェクト BigQuery 書込みを制限されたプロジェクト BigQuery Google Workspace

権限管理の幕開け権限の分離。管理者 1~3 人データ編集者 0~4 人データ閲覧者 0~9
人主なサービス • Cloud IAM 権限設計案管理者編集者自由なプロジェクト BigQuery 書込みを制限されたプロジェクト BigQuery 社内閲覧者

自由なデータ作成環境綺麗なデータを置くプロジェクト・データセットを分離。管理者 2~5 人データ編集者 3~9 人データ閲覧者 1~29
人主なサービス • Cloud IAM 権限設計案社内閲覧者編集者自由なプロジェクト BigQuery 書込みを制限されたプロジェクト BigQuery

閲覧権限の細分化個人情報を排したデータを承認済みビューで提供管理者 3~9 人データ編集者 5~29 人データ閲覧者 20~99
人主なサービス • 承認済みデータセット • BigQuery IAM 権限設計案社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 書込みを制限されたプロジェクト BigQuery

権限の重複を避けてリソース階層で共通化管理者 4~19 人データ編集者 5~29 人データ閲覧者 20~99 人
主なサービス • Cloud IAM リソース階層の導入権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 書込みを制限されたプロジェクト BigQuery いつのまにか登場したプロジェクト

監査監査やデータガバナンスのためのアセスメント管理者 4~19 人データ編集者 1~49 人データ閲覧者 1~99
人主なサービス • Cloud Logging 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink 書込みを制限されたプロジェクト BigQuery

他クラウド環境からの結合 AWSのデータをクエリする管理者 5~19 人データ編集者 1~49 人データ閲覧者 1~299
人主なサービス • BigLake 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink 書込みを制限されたプロジェクト BigQuery 新プロダクト Amazon S3 BigLake

組織横断権限の削減データの認知負荷を下げる、組織横断を避けるための権限絞り込み管理者 5~19 人データ編集者 1~49 人データ閲覧者 1~299
人主なサービス • BigQuery IAM 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink 書込みを制限されたプロジェクト BigQuery 新プロダクト Amazon S3 BigLake

セキュアゾーン個人情報等へアクセス可能な、堅牢な環境を用意する管理者 5~49 人データ編集者 1~299 人データ閲覧者 1~999
人主なサービス • VPC Service Controls 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink データクリーンルーム書込みを制限されたプロジェクト BigQuery オフィス新プロダクト Amazon S3 BigLake

データ配布社外のBigQuery利用者にデータを配布する管理者 5~49 人データ編集者 1~299 人データ閲覧者 1~999
人主なサービス • Analytics Hub 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink データクリーンルーム書込みを制限されたプロジェクト BigQuery オフィス社外閲覧者新プロダクト Amazon S3 BigLake

BigQuery オブジェクトの廃止退職等により、保守できない BigQuery オブジェクトの新規閲覧を縮小管理者 5~49 人データ編集者 1~299
人データ閲覧者 1~999 人主なサービス • Cloud IAM 権限設計案組織社内閲覧者編集者自由なプロジェクト BigQuery 承認済みビュー BigQuery 新プロダクト BigQuery 監査用プロジェクト BigQuery log sink データクリーンルーム書込みを制限されたプロジェクト BigQuery オフィス社外閲覧者新プロダクト Amazon S3 BigLake

おわりに背景 • データ活用とセキュリティのバランスが求められている • BigQuery はデータ活用とセキュリティに注力できるサービスメッセージ • BigQuery
はアクセス制御・監査の多様なサービスと連携する • 最初から完璧を目指さず、情報を集め、改善しよう今日のゴール • あの業務で使えるかも？を 1 つでも持ち帰ってもらう

Q&A 小規模データ基盤のニーズ、シーズどちらが先？ニーズが先。ただし顧客の声を聞きすぎない。データ基盤から生えた BI やスプレッドシートに基づく、オペレーションとどう戦うか？（暗黙的であっても）サービスレベルに適合するなら推進してよい。適合しないなら、サービスレベルをあげた基盤を作るか、オペレーション側の要件を下
げるように調整する。データ基盤の作ったけど利用者増えないニーズがないか、利用コストが見合ってないか、認知されていないか。おまけ

Q&A 中規模データ基盤の権限頑張っても BI ツールでアクセスされる？抜け穴にならないように、OAuth 認証を基本としたり、レポート作成者のリテラシー勉強会をする。 SQL 書けないと使えない？
スプレッドシートや Looker Studio の BigQuery / Looker 接続なら、利用者側は使い慣れたピボットテーブルでデータを扱える。おまけ

Q&A 大規模アクセス整理中も参照され続けるんだけど？ • 拒否ポリシーを使う • 監査ログを使って、利用者を特定して、丁寧にサポートする • 元テーブルをコピーして、元テーブル +
ERROR() を返すビューに置き換える • 急にアクセス権限を止めると、業務上の事故に繋がるので留意する単一のテーブルをBIで複数社に提供したい • シャーディングでテーブルを分離する • 行レベルセキュリティで分離する • SESSION_USER() = x な viewを作る Dataplexの事例は？大規模な組織で適用した事例は見つけられず。おまけ

2023 年の BigQuery 権限管理

2023 年の BigQuery 権限管理

More Decks by na0

Other Decks in Programming

Featured

Transcript