概要
Google Cloud Security Engineer の試験で、 DLP 変換の特徴を覚える必要があるので学習がてらメモします。
TL;DR
本家のサイトに一覧が有るからそこを見れば良い。
https://cloud.google.com/dlp/docs/transformations-reference?hl=ja#transformation_methods
メモ
頻出するメソッドと特徴
試験では、主に 仮名化 (Pseudonymization) について問われることが多い。
特に、仮名化は、HMAC / FPE-FFX / AES-SIV で特徴があるため注意が必要。
技術的には知っていることなので、名称と対応付けること。
データが消える変換
データが消えたり、置換されたり、マスクされたり、元に戻したり、比較したり出来ない変換は以下の通り。
| 日本語 | 英語 | オブジェクト | 説明 |
|---|---|---|---|
| 削除 | Redaction | RedactConfig | PII を削除する |
| 置換 | Replacement | ReplaceValueConfig | PII を同一の値 (e.g. fake@example.com) に変換する |
| 辞書 | Replace with dictionary | ReplaceDictionaryConfig | 『置換』の値が単一でなく、複数になったバージョン |
| マスキング | Mask with character | CharacterMaskConfig | PII を特定の文字 (e.g. "*") で埋め尽くす |
データが残る変換
データを元に戻すことが出来たり、比較したりできる変換は以下の通り。
| 日本語 | 英語 | オブジェクト | 説明 | 文字セットと長さを保持 | 復元可能 | 参照整合性 |
|---|---|---|---|---|---|---|
| 仮名化(入力値を暗号ハッシュで置換) | Pseudonymization by replacing input value with cryptographic hash | CryptoHashConfig | いわゆる HMAC | ✔ | ||
| 仮名化(暗号形式を維持したトークンに置換) | Pseudonymization by replacing with cryptographic format preserving token | CryptoReplaceFfxFpeConfig | FPE-FFX で元データに戻すことができる | ✔ | ✔ | ✔ |
| 仮名化(暗号トークンに置換) | Pseudonymization by replacing with cryptographic token | CryptoDeterministicConfig | AES-SIV で元に戻すことができる | ✔ | ✔ |
FPE の特徴として、変換前の値が少ない場合、リバースエンジニアリングが容易となる。
セキュリティが重要な場合は、 AES-SIV を用いた方法を利用する。
以上