機密データの匿名化
Cloud Data Loss Prevention（DLP）は、テーブルなどのコンテナ構造に格納されたテキストを含む、テキストコンテンツ内の機密データを匿名化できます。匿名化とは、データから識別情報を削除するプロセスです。APIは個人識別情報（PII）などの機密データを検出し、匿名化変換を用いてデータをマスク、削除、またはその他の方法で難読化します。例えば、匿名化技術には以下が含まれます。
文字をアスタリスク (*) やハッシュ (#) などの記号に部分的または完全に置き換えることで機密データをマスクします。
機密データの各インスタンスをトークンまたはサロゲート文字列に置き換えます。
ランダムに生成されたキーまたは事前に決定されたキーを使用して機密データを暗号化および置き換えます。
CryptoReplaceFfxFpeConfig または CryptoDeterministicConfig infoType 変換を使用してデータを匿名化する場合、元々データを匿名化するために使用された CryptoKey がある限り、そのデータを再識別できます。
https://cloud.google.com/dlp/docs/機密データの識別を解除

サーバーレス アーキテクチャ内で機械学習 (ML) モデルのサプライ チェーンのセキュリティを強化するには、開発パイプラインとデプロイメント パイプラインの両方を保護する対策を実装することが重要です。
* オプション A: 外部依存関係を制限し、暗号化キーをローテーションすることはセキュリティ上は良い方法ですが、ML モデルのサプライ チェーンに関連するリスクに直接対処するものではありません。
* オプションB：開発中およびデプロイ前の段階でコンテナイメージの脆弱性スキャンを実施することで、コンテナイメージ内の既知の脆弱性を特定し、軽減することができます。Binary Authorization を適用することで、信頼され検証済みのイメージのみが環境にデプロイされることが保証されます。この組み合わせにより、デプロイ前にコンテナイメージの整合性を検証することで、MLモデルのサプライチェーンのセキュリティが直接的に強化されます。
* オプション C: トレーニング データをサニタイズし、ロールベースのアクセス制御を適用することは重要なセキュリティ プラクティスですが、侵害されたコンテナ イメージに対してデプロイメント パイプラインを具体的に保護するものではありません。
* オプション D: 厳格なファイアウォール ルールと侵入検知システムはネットワーク セキュリティを強化しますが、コンテナ イメージまたは展開プロセス内の脆弱性には具体的に対処しません。
したがって、オプション B は、検証済みの安全なコンテナ イメージのみが環境内で使用されるようにすることで、開発およびデプロイメント パイプラインのセキュリティに直接対処するため、最も効果的なアプローチです。
参考文献:
* コンテナスキャンの概要
* バイナリ認証の概要

フォルダー レベルでリソースの場所の制限組織ポリシー制約を設定します。
フォルダー レベルで制約を設定すると、データ保存要件を非常に細かく制御できます。
各フォルダーは特定の地理的な場所を表すことができ、それらのフォルダー内のプロジェクトは場所の制約を継承し、規制要件への準拠を保証します。
このアプローチにより、同じ組織内の異なるリージョンにわたるデータの保存場所を柔軟に管理できるようになります。
参照：
組織ポリシー サービス: リソースの場所の制限

App Engine などの Google Cloud の Platform-as-a-Service (PaaS) サービスを使用する場合、基盤となる OS、ランタイム、スケーリングなどのインフラストラクチャは Google が管理します。ただし、クロスサイト スクリプティング (XSS) や SQL インジェクション (SQLi) 攻撃の防御など、アプリケーション コード自体のセキュリティ確保はユーザーの責任となります。これには、安全なコーディング プラクティスの実装、入力の検証、アプリケーション内での適切なセキュリティ対策の導入が含まれます。
参照：
Google Cloud: 責任共有モデル
App Engine のセキュリティ

Google Kubernetes Engine（GKE）で実行されている CI/CD パイプラインから Google Cloud API に安全にアクセスするには、次の手順に従います。
* サービス アカウントを作成します:
* 各CI/CDパイプラインごとに個別のサービスアカウントを作成します。これにより、パイプラインの分離と最小限の権限が確保されます。
* pipeline-a-sa、pipeline-b-sa など、各パイプラインの識別子を含む命名規則を使用します。
* Kubernetes サービス アカウントを構成する:
* 各 CI/CD パイプライン ポッドに Kubernetes サービス アカウントを作成します。
* Kubernetes サービス アカウントを Google サービス アカウントにマッピングします。
* Workload Identity を使用して、Kubernetes サービス アカウントを対応する Google サービス アカウントに関連付けます。これにより、ポッドは Google Cloud API に対して安全に認証できるようになります。
* Kubernetes サービス アカウントを Google サービス アカウントにバインドするコマンドの例:
gcloud iam サービスアカウント add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member
"serviceAccount:<プロジェクトID>.svc.id.goog[<名前空間>/<KSA名>]" \
<GSA_NAME>@<プロジェクトID>.iam.gserviceaccount.com
* CI/CD パイプラインをデプロイする:
* 各パイプラインが、以前に構成された特定の Kubernetes サービス アカウントを使用する専用のポッドで実行されることを確認します。
* この設定により、最小権限の原則に従って、各パイプラインに Google Cloud API と安全にやり取りするために必要な権限が付与されます。
参考文献
* ワークロード ID の使用
* サービスアカウントの管理