こんにちは。CARTA ZEROのアナリティクス担当の寺田です。

Dataform APIのセキュリティ強化により、ワークフローの実行方法とユーザーが使用できるサービスアカウントが変更されます。

今回は、

1. Dataform APIのセキュリティ強化による影響範囲
   
   
2. Dataform APIのセキュリティ強化アップデートへの対応方法

の2つを解説いたします。

Dataform APIのセキュリティ強化による影響範囲

今回発表されたDataform APIのセキュリティ強化アップデートは、厳格なact-asモードと呼ばれる新しいアクセス制御モデルを適用します。

Dataformを使用する際に発生する具体的な影響は以下の2つです。

1.サードパーティのGitリポジトリに接続されていないDataformリポジトリについては、自動リリースが無効になる。

自動リリース = Dataformリポジトリ内の最新のsqlxファイル群を読み込み、自動的にコンパイルして、実行可能なSQLのパッケージ（Compilation Result)を作成すること。

2.デフォルトのDataformサービスエージェントを使用したワークフローの実行はできなくなる

なお、厳格なact-asモードは強制的に適用されます。Googleから公式に発表されているスケジュール(予定)は下記に記載します。

つまり下記スケジュールまでに適切な対応をしないと、現在Dataformで設定しているワークフロー実行が最悪停止する可能性があります。

(⚠️現在Dataformで設定しているワークフローを確実に動作させるためには、2026 年 4 月 29 日までに対応する必要がありそうです)

※Google Cloudからの公式アナウンスより

 

2026 年 1 月 19 日: 新たに作成するすべてのリポジトリに対して、厳格なact-as チェックが適用されます。

2026 年 4 月 29 日～7 月 31 日: 既存のリポジトリに対して、厳格な act-as モードが段階的に適用されます。

Dataform APIのセキュリティ強化アップデートへの対応方法

1.サードパーティのGitリポジトリに接続されていないDataformリポジトリについては、自動リリースが無効になる。

✅対応方法1(推奨)：サードパーティの Git リポジトリに接続する

➡️自動リリースのスケジュール実行を安全に動作させたい場合、自社のGitリポジトリをDataformに接続することが最も安全で推奨されます。

また自動リリースが有効になるだけではなく、リポジトリ内で行われたsqlxファイルの変更履歴を追跡できるようになることからもベストな運用方法です⭕

(※Dataformにサードパーティの Git リポジトリに接続していないと、リポジトリ内で行われたsqlxファイルの変更履歴は見れません。)

下記リンクを参考に自社のGitリポジトリをDataformに接続し、適切な権限付与を行ってください。

• サードパーティの Git リポジトリに接続する
• 厳密な act-as モードが自動リリースと実行に与える影響

✅対応方法2：リポジトリ内のsqlxファイルを更新した際に手動でコンパイルをし、必ずリリースを最新に保つ

➡️自動リリースのスケジュール実行がいらないと判断した場合(例えばDataformとサードパーティの Git リポジトリを接続しておらず、かつ、リポジトリ内のsqlxファイルをほぼ更新しない場合などがあげられます)、手動でリリースを更新する必要があります。

ただし、sqlxファイルを更新した際には手動でリリースを最新にしておかないと、更新前の古いワークフローが回り続けるという悲惨なヒューマンエラーが発生します。

リポジトリ内のsqlxファイルを更新した際には、必ずリリースの更新を忘れないようにしてください。

手動リリースの手順は以下の通りです。

👉① 対象リポジトリ内のSQLXファイルを更新後、既存のリリース構成をクリック

👉② 「新しいコンパイル」をクリックし作成

👉③ 「新しいコンパイル」を作成後、最新のコンパイル結果になっているか確認する

2.デフォルトのDataformサービスエージェントを使用したワークフローの実行はできなくなる

✅対応方法：カスタムサービスアカウントの作成と、適切な権限付与をする

➡️具体的にやるべきことは下記の3つになります。特にこれらを行わないと、現在Dataformで設定しているワークフロー実行が最悪停止する可能性があるので必ず行いましょう

1.BigQuery上でクエリを実行するための適切な権限を持った「カスタムサービスアカウント」を作成する

2.「デフォルトのDataformサービスエージェント」に1で作成した「カスタムサービスアカウント」へのアクセスを許可する設定をする

3.「デフォルトのDataformサービスエージェント」に
・サービスアカウントユーザー（roles/iam.serviceAccountUser）
・サービスアカウントトークン作成者（roles/iam.serviceAccountTokenCreator）の権限を付与する

🔽(※参考)セキュリティ強化アップデート後のDataformワークフロー実行イメージ🔽

➡️設定手順をキャプチャしますので参考にしてみてください！

1.BigQuery上でクエリを実行するための適切な権限を持った「カスタムサービスアカウント」を作成する

・該当プロジェクトを選択後、

【左上のナビゲーションメニュー > IAMと管理 >サービスアカウントから「+ サービスアカウントを作成」】をクリック

・サービスアカウント名にわかりやすい名前を命名

・サービスアカウントにBigQuery上でクエリを実行するための3つの事前定義ロールを付与する

1. BigQueryデータ編集者 (テーブルの作成/編集/削除のため)
2. BigQueryデータ閲覧者 (テーブルの読み取りのため)
3. BigQueryジョブユーザー (クエリジョブを実行するため)

・省略でOK。「完了」をクリックしてサービスアカウントの作成完了

2.「デフォルトのDataformサービスエージェント」に1で作成した「カスタムサービスアカウント」へのアクセスを許可する設定をする

3.「デフォルトのDataformサービスエージェント」に
・サービスアカウントユーザー（roles/iam.serviceAccountUser）
・サービスアカウントトークン作成者（roles/iam.serviceAccountTokenCreator）の権限を付与する

・該当プロジェクトを選択後、
【左上のナビゲーションメニュー > IAMと管理 > IAM】から「Dataformサービスエージェント」の値をコピーしておく

・1で作成した「カスタムサービスアカウント」を選択し、
アクセス権を持つプリンシパル >  「+ アクセスを許可」 をクリック

・コピーしておいたDataformサービスエージェントの値を貼り付けし、Dataformサービスエージェントに

・サービスアカウントユーザー
・サービスアカウントトークン作成者

の2つの事前定義ロールを付与する

最後にDataformリポジトリ内の設定で、作成したサービスアカウントを紐づけて終わりです。

ここまで読んでいただきありがとうございました！😊

Dataform APIのセキュリティ強化アップデート(「厳格な act-as モード」の適用)により、既存リポジトリのケジュール実行が停止してしまう可能性があるので、忘れないように対応しましょう。

その際、この記事が参考になれば幸いです。

📣なお、私も含め CARTA ZERO Analyticsを担当するアナリストは現在は「Data Dig（データディグ）」というCookieに依存しないデジタルマーケティング展開の支援も行っています。そのサービスの詳細も「データマーケティング」という形でご案内しており、Data Dig関連サービスとしてどのような資料が存在するか、それらの資料ダウンロードを行えます。

また、デジタルマーケティングに関するコラムなどを展開しています。

Data Dig（データディグ）

📣CARTA ZEROが提供する統合デジタルマーケティングサービスの全容、また現状のデジタルマーケティング施策のノウハウを認識されたい場合は、「KnowHowNow」をご覧ください。

KnowHowNow（ノウハウナウ）はこちらから