すべてのプロダクト
Search

このプロダクト

    Dataphin:識別ルールの作成と管理

    ドキュメントセンター

    Dataphin:識別ルールの作成と管理

    最終更新日:Mar 06, 2025

    識別ルールは、Dataphin 内の機密データを検出するために不可欠です。 これにより、セキュリティ要件の高いビジネスデータのセキュリティ対策を構成し、機密情報を迅速に識別できます。 このトピックでは、識別ルールの作成と管理方法について説明します。

    制限事項

    デフォルトでは、識別ルールはビューオブジェクトを自動的にスキャンしません。 ただし、ルール実行構成でビュースキャンを有効にするか、ビューの識別結果を手動で追加またはバッチインポートできます。

    権限の説明

    • セキュリティ管理者と、[分類ルール]-[管理] 権限を持つカスタムグローバルロールは、識別ルールを作成および管理できます。

    • 所有者であるルールのみを管理できます。これには、編集、削除、リセット、テスト、所有者の変更、識別ルールの手動実行、および有効ステータスの変更が含まれます。

    識別ルールの作成

    1. Dataphin ホームページの上部メニューバーで、[管理] > [データセキュリティ] を選択します。

    2. 左側のナビゲーションウィンドウで、[データ識別] > [分類ルール] を選択します。 [分類ルール] ページで、[識別ルールの作成] ボタンをクリックします。

    3. [識別ルールの作成] ダイアログボックスで、パラメーターを構成します。

      パラメーター

      説明

      基本構成

      識別ルール名

      識別ルール名。 名前は次の要件を満たしている必要があります。

      • 漢字、英字、数字、およびアンダースコア (_) を含めます。

      • 12 文字を超えることはできません。

      識別ルールの説明

      識別ルールに関するカスタムの注釈。 128 文字を超えることはできません。

      データ分類と等級付け

      データクラス

      データ分類ディレクトリを使用してデータ分類を選択できます。 すべての分類、指定されたディレクトリ以下のすべての分類、または指定されたデータ分類を選択できます。

      • [すべての分類]: 現在のテナント以下のすべての有効なデータ分類を指します。

      • [指定されたディレクトリ以下のすべての分類]: 指定されたディレクトリとそのサブディレクトリ以下のすべての有効なデータ分類。

      • [指定されたデータ分類]: 親ディレクトリに基づいて、現在のディレクトリとそのサブディレクトリ内のすべての有効なデータ分類をフィルタリングします。 データ分類を追加するには、[分類のグループを追加] をクリックして、複数のディレクトリを追加します。

      説明

      コンピューティングエンジンが StarRocks で、フィールドタイプが HLL (HyperLoglog) の場合、コンテンツベースの識別はサポートされていません。

      スキャン範囲

      スキャン範囲

      • 識別方法は、[AND] メソッドと [OR] メソッドをサポートしています。

      • 識別タイプには、[事業単位][プロジェクト]、および [データテーブル] が含まれます。

      • 識別条件は、[すべて][所属][所属しない][含む][含まない][正規表現 (大文字と小文字を区別しない)]、および [正規表現] をサポートしています。

        • [すべて]: 現在の Dataphin 内の範囲全体を選択します。

        • [所属/所属しない]: 複数の特定のリソースを選択します。

        • [含む/含まない]: キーワードマッチング。 たとえば、ユーザー情報テーブルと一致させるには、user_info と入力します。

        • [正規表現 (大文字と小文字を区別しない)]: 入力ボックスに正規表現を入力します。 たとえば、test を含むすべての名前に一致させる必要がある場合、正規表現は .*test.* として定義され、スキャン結果で大文字と小文字を区別しない処理が行われます。

        • [正規表現]: 入力ボックスに正規表現を入力します。 たとえば、test を含むすべての名前に一致させる必要がある場合、正規表現は .*test.* として定義されます。

      説明

      • スキャン範囲のルールは 5 を超えてはならず、関係は 2 レイヤーを超えてはなりません。

      • データセクションとプロジェクトの選択は、100 オブジェクトを超えてはなりません。

    4. [OK] をクリックして、識別ルールの作成を完了します。

      識別ルールが作成されると、デフォルトで有効ステータスが有効になっている識別ルールリストに表示されます。 データは、翌日以降、ルール実行構成で設定された時間指定スケジューリングに従って自動的にスキャンされます。

    識別ルールリスト

    1. 識別ルールリストには、名前、データ分類、所有者、更新時刻、およびルールの有効ステータスが表示されます。 [説明] ボタンをクリックすると、識別ルールの概要と説明、データサンプリング、識別結果、および識別管理を表示できます。

    2. 識別ルール名のキーワードに基づいてクイック検索を実行するか、データ分類、所有者に基づいて、または「自分のものだけを表示」を選択して正確にフィルタリングできます。

    3. ターゲット識別ルールに対して次の操作を実行できます。

      操作

      説明

      有効/無効

      有効カラムの下のスイッチをオンまたはオフにします。 有効にすると、識別ルールは実行され、ルール実行構成のタイムスキャンスケジューリング時間とリアルタイムスキャンスイッチに従って実行レコードが生成されます。 無効にした後、ビジネス条件に基づいて実行する必要があるルールを手動でトリガーできます。

      説明

      ルールを無効に設定しても、以前に生成された識別結果には影響しません。

      リセット

      操作列の [リセット] をクリックするか、下部の [リセット] をクリックします。リセット後、システムは選択したルール識別範囲内のデータの既存のタグ付け結果をクリアし、最新の識別結果として識別を再実行します。

      詳細の表示

      操作列の [詳細の表示] をクリックして、識別ルールの構成の詳細を表示します。

      編集

      操作列の [編集] をクリックして、識別ルール情報を変更します。

      手動実行

      有効な識別ルールのみがこの操作をサポートしています。 操作列の [詳細] アイコンをクリックし、[手動実行] を選択するか、下部の [手動実行] をクリックして、選択した識別ルールを手動で実行します。 系譜に基づく自動継承構成が有効になっている場合、データリネージに基づいて自動継承識別結果を生成できます。 詳細な手順については、「系統に基づく継承の説明」をご参照ください。

      具体的には、識別ルールを手動でバッチ実行する場合、識別ルールが有効かどうかに関係なく手動で実行できます。 サポートされているルール実行範囲には、[すべてのルール (無効なルールを含む)][有効なルールのみ] が含まれます。

      コピー

      操作列の [コピー] をクリックして、識別ルールをすばやくコピーします。これは複製と同じです。

      所有者の変更

      操作列の [詳細] アイコンをクリックし、[所有者の変更] を選択するか、下部にある [所有者の変更] をクリックして、識別ルールの所有者を変更します。新しい所有者を選択した後、[OK] をクリックします。識別ルールは、セキュリティ管理者にのみ転送できます。

      削除

      操作列の [詳細] アイコンをクリックするか、[削除] を選択するか、下部の [削除] をクリックします。ルールを削除した後も、生成された識別結果には影響しません。このルールを適用したすべての識別データの分類と等級付けのタグ付けは削除され、関連するタグ付けの削除操作は翌日有効になります。

      テスト

      下部にある [テスト] をクリックします。テスト対象のプロジェクトまたはデータテーブルを選択できます。テストでは、抽出されたサンプルデータが分類および評価され、ルールにタグが付けられます。最大 10 個のプロジェクトまたは 10 個のテーブルを選択できます。

      テストが完了したら、[テスト結果の表示] をクリックして、結果の詳細を表示できます。

      説明

      • テストでは、抽出されたサンプルデータの結果のみが表示され、実際にはタグ付けされません。

      • テスト実行では、データのスキャンと計算も実行され、計算リソースが消費されます。 テスト範囲を正確に設定することをお勧めします。 実行の進行状況は、選択したルールの数と複雑さによって異なります。 しばらくお待ちください。

      • テストは、単一の識別ルールが機密データを識別できるかどうかを判断するためにのみ使用されます。 実際の実行では、条件を満たす複数のルールが決定され、最終的に優先順位に基づいて識別ルールが決定されます。 したがって、テストのタグ付け結果は、実際のルールのタグ付け結果と一致しない場合があります。

    識別ルールの手動トリガー

    1. [分類ルール] ページで、[手動スキャン] をクリックして、[手動スキャン] ダイアログボックスを開きます。

    2. [手動スキャン] ダイアログボックスで、パラメーターを構成します。

      パラメーター

      説明

      スキャン範囲

      [データベース全体のフルスキャン][プロジェクトスキャン]、または [テーブルスキャン] を使用して、識別ルールのスキャン範囲を選択できます。

      • [データベース全体のフルスキャン]: Dataphin 内のすべての識別ルールをすぐに実行してデータをスキャンする必要があるシナリオに適しています。

      • [プロジェクトスキャン]: スキャンするプロジェクトを選択します。 特定のプロジェクト以下のすべての識別ルールをすぐに実行してデータをスキャンする必要があるシナリオに適しています。

      • [テーブルスキャン]: プロジェクト以下のスキャンするデータテーブルを選択します (データテーブルは 10 個以下)。 特定のプロジェクト以下のデータテーブルのすべての識別ルールをすぐに実行してデータをスキャンする必要があるシナリオに適しています。

      ルール実行範囲

      [有効なルールのみ] または [すべてのルール (無効なルールを含む)] を使用して、識別ルールのスキャン範囲を選択できます。

      • [有効なルールのみ]: 実行ステータスが有効な Dataphin 内のすべての識別ルールを指します。

      • [すべてのルール (無効なルールを含む)]: Dataphin 内のすべての識別ルールを指します (識別ルールが有効かどうかに関係ありません)。

      説明

      • システムを正しく設定するには、構成設定で自動継承を有効にし、ルール実行トリガー自動継承設定 シナリオを選択する必要があります。 詳細については、「」をご参照ください。

      • 有効にすると、識別ルールの手動スキャンは、フィールドリネージに基づいて直接上流フィールドの感度レベルを自動的に継承し、関連データ識別結果のスキャンの網羅性と一貫性を向上させます。 有効にしないと、フィールドリネージに基づく自動継承は発生しません。

      • 自動継承スキャンを有効にすると、スキャン範囲が拡張され、計算リソースの消費量が増加する可能性があります。 実際のビジネスニーズに基づいて構成してください。

    3. [OK] をクリックして、選択したアセットオブジェクトのスキャンを開始します。

      [実行履歴] で進行状況を確認できます。 データスキャンプロセスの期間は、選択したデータのサイズによって異なります。 しばらくお待ちください。

    次の手順