機密データ分類概要 - Database Autonomy Service (DAS)

Database Autonomy Service (DAS) は、金融、エネルギー、自動車などのさまざまな業界のデータベース内の機密データを識別するのに役立ちます。組み込みの識別テンプレートを使用して、インスタンス内の機密データを検出できます。これらのテンプレートを直接使用することも、ビジネス要件に合わせてカスタマイズすることもできます。このトピックでは、識別テンプレートの基本概念と、その使用方法について説明します。

サポートされるリージョンとデータベース

データベース	リージョン
RDS for MySQL PolarDB for MySQL RDS for PostgreSQL PolarDB-X 2.0 PolarDB for PostgreSQL	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (深セン)、中国 (成都)、中国 (香港)
PolarDB for PostgreSQL (Oracle Compatible)	中国 (杭州)、マレーシア (クアラルンプール)

モデルとテンプレート

識別テンプレート

識別テンプレートは、業界固有の規制に従って機密データを分類および等級付けするための基礎を提供します。識別テンプレートを使用して、機密データがセキュリティとコンプライアンスの要件を満たしているかどうかを確認できます。

識別モデルと識別特徴量

概念

説明

識別モデル

識別モデルは、1 つ以上の識別特徴量で構成されます。モデルは最終的な識別結果を直接決定し、設定可能です。

DAS は、一般的なタイプの機密データ用の組み込み識別モデルを提供し、カスタム識別モデルを作成することもできます。

識別特徴量

識別特徴量は、コンテンツ、メタデータ、または辞書を照合することによって機密データを検出します。「contains」や「does not contain」などの正規表現と演算子を使用して、識別ルールを作成します。複数のルールを AND または OR 論理演算子で組み合わせて、柔軟なデータ特徴量検出のための複雑なルールを構築できます。

DAS は、一般的な機密データタイプ用の組み込み識別特徴量を提供し、カスタム識別特徴量を作成することもできます。

テンプレートの分類とタスクルール

識別タスクは、接続されたデータベースをスキャンして機密データを発見し、スキャン結果を生成し、データを分類および等級付けします。
識別タスクには、有効化された識別テンプレートが必要です。有効化されたテンプレートは、プライマリー、アクティブ、または汎用として分類されます。
カスタムタスクを追加する際、1 つのプライマリーテンプレートと最大 2 つのアクティブテンプレートを選択できます。

テンプレートタイプ	説明
組み込み識別テンプレート	ビジネスシナリオに基づいて組み込み識別テンプレートを選択します。DAS は、金融、電力、Internet of Vehicles (IoV)、インターネット業界向けの分類および等級付けテンプレート、および内部クラウドセキュリティ保証用のテンプレートを提供します。
カスタム識別テンプレート	組み込みテンプレートが要件を満たさない場合は、最大 10 個のカスタム識別テンプレートを追加できます。識別特徴量と識別モデルを設定して、カスタムテンプレートを作成します。

テンプレートのロール	説明
プライマリーテンプレート	これは、システムデフォルトタスクで使用されるテンプレートです。DAS のデフォルトテンプレートは、インターネット業界向けの分類および等級付けテンプレートです。プライマリーテンプレートは無効にできません。プライマリーテンプレートは 1 つしか設定できません。アクティブテンプレートをプライマリーテンプレートとして設定できます。 DAS コンソール内のすべての識別結果は、プライマリーテンプレートに基づいています。
アクティブテンプレート	組み込みまたはカスタムの識別テンプレートを有効にして、アクティブテンプレートにすることができます。最大 2 つのアクティブテンプレートを有効にできます。
汎用テンプレート	中国国家標準化管理委員会 (SAC) が公開した個人情報セキュリティ仕様 `GB/T 35273-2020` に基づいて、個人情報とプライバシーを保護するために設計されたテンプレートです。このテンプレートは、組み込みテンプレートを含む識別タスクに対してのみデフォルトで使用されます。

識別テンプレートの感度レベル

DAS の機密データ識別は、S1 から S10 までの最大 10 段階の秘密度レベルをサポートします。数字が大きいほど、秘密度レベルが高くなります。

組み込み識別テンプレートでは、秘密度レベルを追加または削除することはできません。説明のみ編集できます。
カスタム識別テンプレートでは、秘密度レベルを追加、編集、削除できます。

テンプレートとモデルの管理

テンプレート管理

組み込み識別テンプレート

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データの識別] > [識別設定] を選択します。
[テンプレート管理] タブのテンプレートリストで、タイプが [組み込み] の識別テンプレートを見つけます。
[ステータス] 列で、またはスイッチをクリックして、テンプレートを有効または無効にします。
[有効な識別テンプレート] セクションで、スイッチを使用してプライマリーテンプレートを変更するか、アクティブテンプレートを無効にします。
説明
識別テンプレートを設定していない場合、インターネット業界向け分類・評価テンプレートがデフォルトでプライマリーテンプレートとして使用されます。

カスタム識別テンプレート

作成

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、Data Security Center > 機密データの識別 > 識別設定 を選択します。
[テンプレート管理] タブで、[テンプレートの作成] をクリックします。
[テンプレートの作成] ページの [基本情報] セクションで、テンプレート名とテンプレートの説明を設定し、[次へ] をクリックします。
[テンプレートノード設定] で、[カテゴリの追加] をクリックします。表示されるダイアログボックスで、機密データの [カテゴリ名] を入力し、[OK] をクリックします。
- 追加したカテゴリの横にある管理アイコンをクリックし、[兄弟カテゴリの追加] または [サブカテゴリの追加] をクリックして、新しい機密データカテゴリを追加します。
  説明
  このステップを繰り返して、複数のカテゴリを追加します。
- 次のステップを繰り返して、カテゴリに識別モデルを追加します：
  1. 追加したカテゴリの横にある管理アイコンをクリックし、[モデルの追加] をクリックします。
  2. [モデルの追加] ダイアログボックスで、対象の識別モデルのチェックボックスを選択し、スイッチをクリックして有効にし、[OK] をクリックします。
    重要
    テンプレート内の識別モデルは、識別タスクで有効にするために有効化する必要があります。

コピー

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、Data Security Center > 機密データの識別 > 識別設定 を選択します。
［テンプレート管理］タブで、コピーする組み込みまたはカスタムの識別テンプレートを見つけ、［コピー］を［操作］列でクリックします。
表示されるダイアログボックスで、[テンプレート名] と [備考] を変更し、[確認] をクリックします。
説明
テンプレートの [操作] 列にある [編集] をクリックして、その名前、モデルカテゴリ、および識別モデルを変更できます。

モデル管理

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、Data Security Center > 機密データの識別 > 識別設定.
[識別モデル] タブをクリックし、[モデルの追加] をクリックします。

[モデルの追加] パネルで、モデルのパラメーターを設定し、[OK] をクリックします。

設定項目タイプ	パラメーター	説明
基本情報	モデル名	モデルの名前。名前は一意である必要があります。
	モデルの説明	モデルの説明。
	データラベル	モデルのデータラベルを選択します。有効な値：個人情報 (機密)、個人情報、一般情報。
	データ分類	ドロップダウンリストから、新しいモデルを識別テンプレート、機密情報カテゴリ、およびリスクレベルに関連付けます。モデルはカスタム識別テンプレートにのみ関連付けることができます。
モデルルール設定	識別特徴量	ドロップダウンリストから、モデルの識別特徴量を選択します。組み込みおよびカスタムの識別特徴量を選択できます。複数の識別特徴量を選択できます。特徴量の間には OR 関係があります。
	識別範囲	ドロップダウンリストから、モデルが適用されるアセットタイプを選択します。デフォルトでは、モデルは DAS に権限が付与され接続されている資産に適用されます。複数のアセットタイプを選択できます。アセットタイプの間には OR 関係があります。
	高度な設定	オプション。次の手順を実行します：ドロップダウンリストから、設定するアセットタイプを選択します。条件間の関係を選択します。有効な値：AND と OR。複数の条件グループを設定するには、[グループの追加] をクリックします。追加されたグループは、最初の条件グループのサブセットです。識別条件を設定します。複数の条件を追加するには、[条件の追加] をクリックします。
識別しきい値設定	最小ヒット数 (非構造化データ)	NoSQL ファイルなどの非構造化データの単一ファイル内で、識別特徴量の一致の最小数を設定します。ファイル内の一致数がこの最小値に達すると、モデルはそのファイルを機密データとして識別します。
識別しきい値設定	ヒット率 (構造化データ)	RDS インスタンス内のデータなど、構造化データのヒット率を設定します。 200 件のデータエントリのサンプル内でモデルに一致するデータの割合がこのヒット率に達すると、モデルはそのデータを機密データとして識別します。

その他の操作

テンプレートの詳細の表示：テンプレートの [操作] 列にある [詳細] をクリックして、そのルール設定と識別しきい値を表示します。
識別テンプレートの削除: 削除できるのはカスタム識別テンプレートのみです。組み込み識別テンプレートは削除できません。対象のテンプレートの[操作]列で、管理アイコンをクリックし、その後[削除]をクリックします。
モデルカテゴリの管理：カスタムテンプレートのモデルカテゴリのみ設定できます。組み込みテンプレートのモデルカテゴリは変更できません。対象のテンプレートの [操作] 列にある [編集] をクリックします。
有効な識別モデルを切り替えても、進行中のタスクには影響しません。変更は、次回のスケジュールされた実行時に有効になります。

機密データ識別管理

前提条件

資産の権限付与をインスタンスリストで完了していること。

識別タスク

システムデフォルトタスク

データベースに権限を付与し、デフォルトの機密データスキャンタスクを選択すると、DAS はプライマリーの識別テンプレートを使用して、新しく権限が付与されたデータベースのデフォルトスキャンタスクを作成します。

パラメーター	説明
識別テンプレート	システムデフォルトタスクはプライマリーテンプレートを使用します。この設定は変更できません。説明プライマリーテンプレートが組み込み識別テンプレートの場合、タスクは汎用テンプレートも使用します。
スキャン周期 (デフォルト)	インスタンスの権限付与中にデフォルトの機密データスキャンタスクを選択した場合、確認後すぐにシステムデフォルトタスクが実行されます。説明システムデフォルトタスクのスキャン周期を設定できます。2 回のスキャンの最小間隔は 24 時間です。
スキャン範囲	権限が付与されたインスタンス、データベース、テーブル名の場合：説明データベースの最初のスキャンは、権限が付与されたすべてのデータのフルスキャンです。その後のスキャンまたは再スキャンでは、新規および変更されたデータのみが処理されます。プライマリーテンプレートを切り替えても、スキャンはすぐにはトリガーされません。新しいテンプレートは、システムデフォルトタスクが次に実行されるときに使用されます。
スキャン制限	RDS for MySQL、RDS for PostgreSQL、PolarDB インスタンスのデータなどの構造化データの場合、タスクはデフォルトでテーブルの最初の 200 行をサンプリングします。この値は手動で最大 1,000 行まで変更できます。サンプリングされた各行の各フィールドの最初の 10 KB のデータのみがスキャンされます。 1,000 テーブルを超える大規模なデータベースの場合、スキャン速度は毎分 1,000 列です。
スキャン結果	詳細については、「識別テンプレートの秘密度レベル」をご参照ください。`N/A` の結果は、機密データが識別されなかったことを示します。

カスタムタスク

カスタムタスクを追加して、有効な識別テンプレートを使用して指定されたデータベーステーブルをスキャンできます。使用したいテンプレートが有効になっていない場合は、まず有効にする必要があります。

最初のスキャンと再スキャンでは、カスタムのスキャン範囲とスキャン周期に基づいてフルスキャンが実行されます。定期的なスキャンでは、新規または変更されたデータオブジェクトのみが処理されます。
詳細については、「識別テンプレートの秘密度レベル」をご参照ください。N/A の結果は、機密データが識別されなかったことを示します。

識別タスクの管理

システムデフォルトタスクの表示

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データ識別] > [タスク管理] を選択します。
[タスク管理] ページの [識別タスク] タブで、[システムデフォルトタスク] をクリックします。
[識別タスク監視] ページで、デフォルトタスクのリストを表示します。
システムデフォルトタスクの [操作] 列で、次の操作を実行できます：
- 再スキャン：識別モデルがアップグレードされた場合、プライマリーテンプレートを変更した場合、またはデータベースのコンテンツが変更された場合に、すべてのデータを再スキャンできます。
- 一時停止：データベースサービスで例外が発生した場合、[操作] 列の [一時停止] をクリックして、現在スキャン中のシステムデフォルトタスクを一時的に停止します。
- 終了：この操作は、システムデフォルトタスクの次回のスケジュールされた実行を終了します。システムデフォルトタスクが進行中の場合、終了しても現在の実行には影響しません。ただし、タスクは次のサイクルでは実行されません。
- 有効化：この機能は、終了したシステムデフォルトタスクを再開します。

スキャン設定

システムデフォルトタスクは定期的なスキャンをサポートしています。データベースのコンテンツ更新頻度に合わせてスキャン周期を設定し、機密情報を迅速に検出することを推奨します。最小スキャン周期は 24 時間です。

[識別タスクモニタリング] ページで、目的のタスクのチェックボックスを選択し、タスクリストの上にある [スキャン設定項目] をクリックし、エポックとスキャン時間を設定します。

重要

データベースへのスキャンの影響を最小限に抑えるために、スキャン開始時刻をオフピーク時間に設定することを推奨します。
スキャンタスク中に CPU またはメモリ使用率が予期せず増加した場合は、[タスク管理] ページに移動し、[操作] 列の [一時停止] または [停止] をクリックして、識別タスクを直ちに一時停止または停止してください。

カスタムタスクの作成

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データ識別] > [タスク管理] を選択します。
[識別タスク] タブで、タスクを作成する資産タイプを選択し、[識別タスクの作成] をクリックします。

「[識別タスクの作成]」パネルでタスク設定を構成し、次に[確認]をクリックします。

設定カテゴリ

パラメーター

説明

識別範囲

構造化データの識別範囲

RDS および PolarDB インスタンスのデータなど、構造化データのスキャン範囲を選択します。有効な値：

グローバルスキャン：すべての構造化データ資産をスキャンします。
指定スキャン: [インスタンス名]、[データベース名]、および[スキャン制限]を設定します。
- インスタンス名とデータベース名を設定します。複数のインスタンスを追加するには、[識別範囲の追加] をクリックします。
- [スキャン制限] を設定します。デフォルトでは、先頭の 200 行がスキャンされます。最大値は 1,000 行です。

その他の設定

識別の上書き

タスクが以前に修正されたデータを再度検出した場合の処理方法を指定します。有効な値：

手動タグ付け結果をスキップ：元の手動修正を保持します。これは推奨されるオプションです。
手動タグ付け結果を上書き：手動修正を新しい識別結果で上書きします。

カスタム識別タスクの [操作] 列では、以下の操作を実行できます：
- 再スキャン：識別モデルをアップグレードした場合、プライマリーテンプレートを変更した場合、またはデータベースのコンテンツが変更された場合に、再スキャンを実行してすべてのデータをスキャンできます。
- 一時停止：データベースで問題が発生した場合、[一時停止] をクリックして、進行中のスキャンタスクを一時的に停止します。
- 停止：次のスキャン周期でタスクが実行されないようにします。タスクが進行中の場合、影響はありません。ただし、タスクは次の周期では実行されません。
- 有効化：停止したタスクを再開します。

カスタム識別タスク

カスタム識別タスクは、指定されたテンプレートでのスキャンをサポートしています。プライマリーテンプレートではない有効なテンプレートを使用してデータベースをスキャンするには、新しい識別タスクを作成できます。

重要

システムは最大 5 つのアクティブな識別タスクをサポートします。各定期スキャンタスクは 1 つのアクティブタスクスロットを使用します。したがって、5 つの定期タスクを設定すると、新しい識別タスクを作成できなくなります。

正しい識別モデル

復元操作は、識別モデルを修正前の状態に戻します。

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、Data Security Center > 機密データの識別 > タスク管理を選択します。
[タスク管理] ページで、[修正タスク] タブをクリックします。
左側のデータタイプナビゲーションウィンドウで、修正したいアセットタイプをクリックします。
対象の機密データの [操作] 列にある [修正] または [復元] をクリックし、ページ上のプロンプトに従って [修正後のモデル] を変更し、[OK] をクリックします。

識別結果の管理

機密データ識別タスクが完了すると、[資産概要] ページで結果を表示およびエクスポートできます。DAS はスキャン結果を 5 分ごとに更新します。

結果の表示

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データ識別] > [資産概要] を選択します。
[アセットタイプ] タブで、表示したいデータタイプをクリックします。
アセットインスタンス内の機密データの詳細を表示するには、[操作] 列の [テーブル詳細] をクリックします。
右側の詳細パネルで、次の図に示すように、機密データの統計情報を表示します。
機密データのリストで、[列の詳細] を [操作] 列でクリックして、各列に一致したルールの詳細を表示できます。
[修正] が [操作] 列に表示されている場合、機密データの識別結果を修正できます。

結果のエクスポート

DAS コンソールにログインします。
左側のナビゲーションウィンドウで、[Data Security Center] > [機密データ識別] > [タスク管理] > [エクスポートタスク] を選択します。
[エクスポートタスクの作成] をクリックします。エクスポートタスクを設定し、[OK] をクリックします。
1. [基本情報] セクションで、タスク名を入力し、タスクのテンプレートを選択します。有効なテンプレートのみ選択できます。
2. [エクスポートディメンション] セクションで、[アセットタイプ] または [アセットインスタンス] を選択します。
  - アセットタイプ：すべてのエンジンインスタンスを選択します。
  - アセットインスタンス：エクスポートしたい特定のエンジンインスタンスを選択します。

エクスポートタスクを作成した後、エクスポートタスクリストでそのステータスを表示できます。エクスポートするデータが多いほど、エクスポートプロセスにかかる時間は長くなります。

結果のダウンロード

[エクスポートステータス] が [完了] に変わるまで待ち、対象のエクスポートタスクの [操作] 列にある [ダウンロード] をクリックします。

重要

エクスポートされたデータは 3 日間ダウンロード可能です。この期間を過ぎると、エクスポートタスクは期限切れとなり、データは利用できなくなります。