あなたのチームは Cloud Storage バケットに保存された PII(個人情報)データが他のサービスに誤って転送されないようにしたいと考えています。データの流出を防ぐための最も包括的な対策はどれですか?
- A. Cloud Storage バケットのロギングを有効にして不審なアクセスを監査する
- B. VPC Service Controls のサービス境界を設定して Cloud Storage への社外アクセスを制限する
- C. Cloud DLP(Data Loss Prevention)でバケットの定期スキャンを実行する
- D. Cloud Storage バケットの ACL をプライベートに設定する
解答と解説を見る
正解: B
VPC Service Controls のサービス境界(Service Perimeter)は Cloud Storage などのサービスの周囲に論理的な境界を設定し、境界外への意図しないデータ転送(データ流出経路)を遮断します。たとえば、管理者が誤って gsutil cp でバケット内のデータを外部プロジェクトにコピーしようとしても VPC-SC によって拒否されます。ACL のプライベート設定は公開アクセスの防止に有効ですが、認証済みユーザーによる流出は防げません。Cloud DLP のスキャンは既存データの PII 検出に有効ですが、リアルタイムの転送防止ではありません。ロギングは事後監査には有効ですが、事前予防ではありません。
📚 関連サービスの解説: VPC ネットワーク ・ Cloud Storage