機密データの識別 - Database Autonomy Service - Alibaba Cloud ドキュメントセンター

Database Autonomy Service (DAS) は、さまざまな業界の機密情報を識別および分類するのに役立つ機密データ識別機能を提供します。金融、エネルギーなどの組み込みテンプレートを使用したり、特定のコンプライアンスニーズに合わせてカスタムテンプレートを作成したりできます。このトピックでは、関連するコアコンセプトについて説明し、その使用方法を解説します。

モデルとテンプレート

識別テンプレートとは

識別テンプレートは、さまざまな業界の仕様に従って機密データを分類および等級付けするための基礎です。識別テンプレートを使用して、機密データがセキュリティコンプライアンス要件を満たしているかどうかを確認できます。

識別モデルと識別機能とは

コンセプト

説明

識別モデル

識別モデルは、1 つ以上の識別機能に基づいて定義されます。モデルは最終結果に直接関連付けられ、設定可能です。

DAS は、典型的な機密データ用の組み込みモデルを提供し、カスタム識別モデルを作成することもできます。

識別機能

識別機能は、コンテンツベース、メタデータベース、および辞書ベースの識別をサポートします。正規表現 (regex) と演算子 (contains や does not contains など) を組み合わせて、機密データの特徴を検出し、識別ルールを形成します。この機能により、AND または OR 論理演算子を使用して複数のルールを関連付け、複雑な識別ルールを形成できます。これにより、データ特徴の検出がより柔軟になります。

DAS は、一般的な機密データの型に対応する組み込み機能を提供し、カスタム識別機能を作成することもできます。

テンプレートの分類とタスクルール

識別タスクは、接続されたデータベース内のデータをスキャンして機密データを見つけ、スキャン結果を生成し、機密データを分類および等級付けします。
識別タスクには、有効化されたテンプレートが必要です。有効化されたテンプレートは、プライマリ、アクティブ、または汎用に分類されます。
カスタム識別タスクを追加する場合、プライマリテンプレートは 1 つだけ、アクティブテンプレートは最大 2 つまで選択できます。

テンプレートタイプ	説明
組み込みテンプレート	ビジネスシナリオに基づいて組み込みテンプレートを選択できます。DAS は、金融業界向けの分類および等級付けテンプレート、内部クラウドセキュリティ保証用の組み込みテンプレート、電力業界向けの分類および等級付けテンプレート、IoV (Internet of vehicles) 向けの分類および等級付けテンプレート、およびインターネット業界向けの分類および等級付けテンプレートを提供します。
カスタムテンプレート	組み込みテンプレートが要件を満たせない場合は、最大 10 個のカスタムテンプレートを追加できます。識別機能とモデルを設定することで、要件を満たすテンプレートを作成できます。

テンプレートのロール	説明
プライマリテンプレート	システムデフォルトタスクで使用されるテンプレートです。DAS のデフォルトのプライマリ識別テンプレートは、インターネット業界向けの分類および等級付けテンプレートです。プライマリ識別テンプレートは無効にできません。プライマリテンプレートは 1 つしか設定できません。アクティブテンプレートをプライマリテンプレートに変更できます。 DAS コンソールの結果はすべてプライマリテンプレートに基づいています。
アクティブテンプレート	組み込みテンプレートまたはカスタムテンプレートをアクティブテンプレートとして有効にできます。最大 2 つのアクティブテンプレートを有効にできます。
汎用テンプレート	個人情報セキュリティとプライバシーを保護するために、中国国家標準化管理委員会 (SAC) が発行した個人情報セキュリティ仕様 `GB/T 35273-2020` に基づいて策定されたテンプレートです。このテンプレートは、識別タスクで組み込みテンプレートが使用される場合にのみデフォルトで使用されます。

感度レベル

DAS の機密データ識別は、S1 から S10 までの最大 10 の感度レベルをサポートします。数値が大きいほど、感度レベルが高くなります。

組み込みテンプレートでは感度レベルを追加または削除できません。説明のみ編集できます。
カスタムテンプレートでは、感度レベルを追加、編集、削除できます。

テンプレートとモデルの管理

テンプレートの管理

組み込みテンプレート

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データ識別] > [識別設定] を選択します。
[識別設定] ページの [テンプレート管理] タブで、ページ下部のテンプレートリストから [タイプ] が [組み込み] の識別テンプレートを見つけます。
[ステータス] 列のスイッチアイコンまたはをクリックして、テンプレートを有効または無効にします。
有効化されたテンプレートの場合、[メイン テンプレート] または [無効化] スイッチをクリックして、プライマリテンプレートを変更するか、アクティブテンプレートを無効にします。
説明
テンプレートを設定していない場合、デフォルトのプライマリテンプレートは [インターネット業界向け分類および等級付けテンプレート] です。

カスタムテンプレート

新しいテンプレートの作成

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [識別設定] を選択します。
[識別設定] ページの [テンプレート管理] タブで、[テンプレートの作成] をクリックします。
[テンプレートの作成] ページで、「テンプレート名」や「テンプレートの説明」など、[基本情報] のパラメーターを設定し、[次へ] をクリックします。
[テンプレートノード設定] で、[カテゴリの追加] をクリックします。表示されるダイアログボックスで、機密データの [カテゴリ名] を入力し、[OK] をクリックします。
- 追加したカテゴリの右側にある管理アイコンをクリックし、[兄弟カテゴリの追加] または [サブカテゴリの追加] をクリックして、対応する機密データカテゴリを追加します。
  説明
  この操作を繰り返して、複数のカテゴリを追加できます。
- 次の手順を繰り返して、追加した機密データカテゴリに対応する識別モデルを追加します。
  1. 追加したカテゴリの右側にある管理アイコンをクリックし、[モデルの追加] をクリックします。
  2. [モデルの追加] ダイアログボックスで、対象の識別モデルの横にあるチェックボックスを選択し、ステータスアイコンを有効に設定して、[OK] をクリックします。
    重要
    テンプレートでモデルが有効になると、そのモデルはこのテンプレートを使用する識別タスクで有効になります。

テンプレートのコピー

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ検出] > [識別設定] を選択します。
[識別設定] ページの [テンプレート管理] タブで、コピーしたい組み込みまたはカスタムの識別テンプレートを見つけ、[アクション] 列の [コピー] をクリックします。
表示されるダイアログボックスで、[テンプレート名] と [備考] を変更し、[確認] をクリックします。
説明
テンプレートの [アクション] 列にある [編集] をクリックして、テンプレート名、モデルカテゴリ、および識別モデルを変更できます。

モデルの管理

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [識別設定] を選択します。
[識別モデル] タブをクリックし、[モデルの追加] をクリックします。

[モデルの追加] パネルで、モデルのパラメーターを設定し、[OK] をクリックします。

設定項目タイプ	設定項目	説明
基本情報	モデル名	モデルの名前。名前は一意である必要があります。
	モデルの説明	モデルの説明。
	データラベル	モデルのデータラベルを選択します。有効な値: [機密性の高い個人情報]、[個人情報]、[一般情報]。
	データ分類	ドロップダウンリストで、新しいモデルを識別テンプレート、機密情報カテゴリ、リスクレベルの順に関連付けます。モデルはカスタム識別テンプレートにのみ関連付けることができます。
モデルルール設定	識別機能	ドロップダウンリストで、モデルが使用する識別機能を選択します。組み込みおよびカスタムの識別機能を選択できます。複数の識別機能を選択できます。識別機能は OR 関係にあります。
	識別範囲	ドロップダウンリストで、モデルが適用されるアセットタイプを選択します。デフォルトでは、モデルは DAS に権限付与され、接続可能なアセットに適用されます。複数のアセットタイプを選択できます。アセットタイプは OR 関係にあります。
	詳細設定	任意。手順は次のとおりです。ドロップダウンリストで、設定したいアセットタイプを選択します。異なる条件間の関係を選択します。有効な値: [AND] と [OR]。複数の条件グループを設定したい場合は、[グループの追加] をクリックします。追加された条件グループは、最初の条件グループのサブセットです。識別条件を設定します。複数の条件を追加したい場合は、[条件の追加] をクリックします。
識別しきい値設定	最小ヒット数 (非構造化データ)	NOSQL などの非構造化データの単一ファイル内で識別機能がヒットする回数の最小しきい値。単一ファイル内で識別機能がヒットした回数が最小ヒット数に達した場合、そのファイルはこのモデルで定義された機密データとして識別されます。
識別しきい値設定	ヒット率 (構造化データ)	RDS などの構造化データのヒット率。 200 のサンプルデータエントリのうち、モデルにヒットしたデータの割合が指定されたヒット率に達した場合、対応するデータはこのモデルで定義された機密データとして識別されます。

その他の操作

テンプレートの詳細の表示: リスト内のテンプレートの [アクション] 列にある [詳細] をクリックして、ルール設定と識別しきい値を確認します。
識別テンプレートの削除: カスタムテンプレートのみ削除できます。組み込みテンプレートは削除できません。対象テンプレートの [アクション] 列で、管理アイコンをクリックし、[削除] をクリックします。
モデルカテゴリの管理: カスタムテンプレートに対してのみモデルカテゴリを設定できます。組み込みテンプレートのモデルカテゴリは変更できません。対象テンプレートの [アクション] 列にある [編集] をクリックします。
有効なモデルの切り替え: 実行中の識別タスクは影響を受けません。変更は次回の実行から有効になります。

機密データ識別の管理

始める前に

対象のアセットがインスタンスで権限付与されていることを確認してください。

識別タスクとは

システムデフォルトタスク

データベースに権限を付与する際、デフォルトの機密データ識別スキャンタスクを選択できます。DAS はその後、プライマリ識別テンプレートを使用して、増分データベースに対するデフォルトのスキャンタスクを作成します。

タスク設定項目	説明
識別テンプレート	システムデフォルトタスクはプライマリ識別テンプレートを使用します。これは変更できません。説明 [プライマリ識別テンプレート] が [組み込み識別テンプレート] の場合、タスクは [汎用識別テンプレート] も使用します。
スキャンエポック (デフォルト)	[インスタンス権限付与] 中にデフォルトの機密データ識別スキャンタスクを選択した場合、選択を確認すると、対応するシステムデフォルトタスクが直ちに実行されます。説明システムデフォルトタスクのスキャンエポックを設定できます。2 回のスキャンの最小間隔は 24 時間です。
スキャン範囲	権限付与された [インスタンス]、[データベース]、および [テーブル] 名の場合: 説明データベースの最初のスキャンは、権限付与されたすべてのデータの完全スキャンです。後続のスキャンまたは再スキャンでは、増分および変更された部分のみがスキャンされます。プライマリ識別テンプレートを切り替えても、スキャンはすぐにはトリガーされません。新しい識別テンプレートは、システムデフォルトタスクが次回実行されるときにスキャンに使用されます。
スキャン制限	構造化データ (ApsaraDB RDS for MySQL、ApsaraDB RDS for PostgreSQL、PolarDB など): デフォルトでは、テーブル内の最初の 200 行のデータがサンプリングされます。この値は手動で最大 1,000 行まで変更することもできます。サンプルデータの各行の各フィールドの最初の 10 KB のデータのみがスキャンされます。大規模なデータベース (1,000 テーブル以上) の場合、スキャン速度は 1,000 列/分です。
スキャン結果	識別テンプレートの感度レベル。`N/A` は、機密データが識別されなかったことを示します。

カスタムタスク

有効な識別テンプレートを使用して、指定されたデータベーステーブルをスキャンするカスタム識別タスクを追加できます。使用したい識別テンプレートが有効になっていない場合は、まず有効にする必要があります。

最初のスキャンと再スキャンでは、カスタムのスキャン範囲とスキャンエポックに基づいて完全スキャンが実行されます。定期的なスキャンでは、新規または変更されたデータオブジェクトのみがスキャンされます。
識別テンプレートの感度レベル。N/A は、機密データが識別されなかったことを示します。

タスクの管理方法

デフォルトタスクの表示

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [タスク管理] を選択します。
[タスク管理] ページで、[識別タスク] タブをクリックし、[システムデフォルトタスク] をクリックします。
[識別タスク監視] ページで、デフォルトタスクのリストを表示します。
システムデフォルトタスクの [アクション] 列で、次の操作を実行できます。
- 再スキャン: 識別モデルがアップグレードされた場合、プライマリテンプレートを変更した場合、またはデータベースのコンテンツが変更された場合に、再スキャン操作を実行して完全なデータをスキャンできます。
- 一時停止: データベースサービスが異常な場合、[アクション] 列の [一時停止] をクリックして、スキャン中のシステムデフォルトタスクを一時的に停止します。
- 停止: この操作は、次のエポックでシステムデフォルトタスクが実行されるのを停止します。システムデフォルトタスクがスキャン中の場合、タスクを停止しても現在の実行には影響しません。ただし、システムデフォルトタスクは次のエポックでは実行されません。
- 有効化: この操作は、停止したシステムデフォルトタスクを再度有効にします。

設定の調整

システムデフォルトタスクは定期的なスキャンをサポートしています。データベース内の機密情報を迅速に検出するために、スキャンエポックをデータベースのコンテンツ更新頻度とほぼ同じに設定することをお勧めします。最小スキャンエポックは 24 時間です。

[識別タスク監視] ページで、目的のタスクのチェックボックスを選択し、タスクリストの上にある [スキャン設定] をクリックして、エポックとスキャン時間を設定します。

重要

スキャンがデータベースに与える影響を最小限に抑えるため、スキャン開始時刻をオフピーク時間に設定することをお勧めします。
スキャンタスクの実行中に、CPU 使用率やメモリ使用量が異常に増加した場合は、識別タスクを速やかに一時停止または停止することをお勧めします。[タスク管理] ページに移動し、[アクション] 列の [一時停止] または [停止] をクリックしてスキャンを停止できます。

カスタムタスクの作成

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ検出] > [タスク管理] を選択します。
[識別タスク] タブで、識別タスクを作成したいアセットタイプを選択し、[識別タスクの作成] をクリックします。

[識別タスクの作成] パネルで、識別タスクの設定項目を設定し、[確認] をクリックします。

設定項目カテゴリ

設定項目

説明

識別範囲

構造化データの識別範囲

RDS や PolarDB などの構造化データのスキャン範囲を選択します。有効な値:

[グローバルスキャン]: 構造化データ資産をスキャンします。
[指定スキャン]: [インスタンス名]、[データベース名]、[スキャン制限] を設定します。
- インスタンス名とデータベース名を設定します。複数のインスタンスを追加するには、[識別範囲の追加] をクリックします。
- [スキャン制限] を設定します。デフォルトでは最初の 200 行がスキャンされます。最大値は 1,000 行です。

その他の設定

識別の上書き

修正された機密データの処理方法を指定します。有効な値:

[手動タグ付け結果をスキップ]: 元の手動修正結果を保持します。このオプションを推奨します。
[手動タグ付け結果を上書き]: 手動修正結果を新しい識別結果で上書きします。

カスタム識別タスクの [アクション] 列で、次の操作を実行できます。
- [再スキャン]: 識別モデルがアップグレードされた場合、プライマリテンプレートを変更した場合、またはデータベースのコンテンツが変更された場合に、再スキャン操作を実行して完全なデータをスキャンできます。
- 一時停止: データベースサービスが異常な場合は、[操作] 列の [一時停止] をクリックして、進行中のシステムのデフォルトタスクを一時的に停止します。
- [停止]: この操作は、次のエポックでシステムデフォルトタスクが実行されるのを停止します。システムデフォルトタスクがスキャン中の場合、タスクを停止しても現在の実行には影響しません。ただし、システムデフォルトタスクは次のエポックでは実行されません。
- [有効化]: この操作は、停止したシステムデフォルトタスクを再度有効にします。

カスタムタスクの管理

カスタム識別タスクは、指定されたテンプレートでのスキャンをサポートします。プライマリではない有効なテンプレートを使用して指定されたデータベースをスキャンするには、識別タスクを作成できます。

重要

システムは最大 5 つのアクティブな識別タスクをサポートします。各定期スキャンタスクは 1 つのアクティブタスクスロットを占有します。したがって、5 つの定期タスクを設定した後は、新しい識別タスクを作成できません。

モデルヒットの修正

回復操作を実行すると、識別モデルは修正前の状態に復元されます。

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [タスク管理] を選択します。
[タスク管理] タブで、[修正タスク] タブをクリックします。
左側のデータの型ナビゲーションウィンドウで、修正したいアセットタイプをクリックします。
対象の機密データの [アクション] 列にある [修正] または [回復] をクリックします。画面の指示に従って [修正済みモデル] を変更し、[OK] をクリックします。

検出結果の表示、エクスポート、ダウンロード

タスクが完了すると、[アセット概要] ページで結果を表示およびエクスポートできます。DAS では、5 分ごとにスキャン結果をリフレッシュして表示できます。

結果の表示

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [アセット概要] を選択します。
[アセットタイプ] タブで、表示したいデータの型をクリックします。
データ資産インスタンス内の機密データの詳細を表示するには、[アクション] 列の [テーブル詳細] をクリックします。
右側の詳細パネルで、次の図に示すように、機密データに関する統計情報を表示します。
機密データリストで、[アクション] 列の [列の詳細] をクリックして、各列のデータがヒットしたルールの詳細を表示できます。
[アクション] 列に [修正] エントリがある場合は、機密データ識別の結果を修正できます。

結果のエクスポート

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[セキュリティセンター] > [機密データ識別] > [タスク管理] > [エクスポートタスク] を選択します。
[エクスポートタスクの作成] をクリックします。エクスポートタスクを設定し、[OK] をクリックします。
1. [基本情報] セクションで、タスク名を入力し、タスクのテンプレートを選択します。有効なテンプレートのみ選択できます。
2. [エクスポートディメンション] セクションで、[アセットタイプ] または [アセットインスタンス] を選択します。
  - [アセットタイプ]: すべてのエンジンインスタンスを選択します。
  - [アセットインスタンス]: エクスポートしたいエンジンインスタンスを選択します。

エクスポートタスクを作成した後、エクスポートタスクリストでそのステータスを確認できます。エクスポートするデータが多いほど、エクスポートにかかる時間は長くなります。お待ちください。

エクスポートされた結果のダウンロード

[エクスポートステータス] が [完了] に変わるまで待ち、対象のエクスポートタスクの [アクション] 列にある [ダウンロード] をクリックします。

重要

エクスポートが完了したら、3 日以内にエクスポートされたデータをダウンロードする必要があります。3 日後、エクスポートタスクは有効期限切れとなり、エクスポートされた機密データをダウンロードできなくなります。