Data Security Guard でウォーターマークの保存期間とリスクアラートの受信元アドレスを設定する方法 - DataWorks

Data Security Guard のシステム設定では、データウォーターマークファイルの保存期間の設定、MaxCompute データのセキュリティレベルを表示するかどうかの選択、アラート情報の受信元アドレスの設定、機密データのリアルタイム検知の有効化/無効化ができます。

「システム設定」ページへの移動

Data Security Guard に移動します。
1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで [セキュリティセンターへ移動] をクリックします。
2. 左側のナビゲーションウィンドウで、[データ利用セキュリティ] > [機密データ管理] をクリックして、[データセキュリティガード] ページに移動します。
  説明
  - ご利用の Alibaba Cloud アカウントに必要な権限が付与されている場合、Data Security Guard ページに直接アクセスできます。
  - ご利用の Alibaba Cloud アカウントに必要な権限が付与されていない場合、Data Security Guard の権限付与ページにリダイレクトされます。アカウントに必要な権限が付与された後にのみ、Data Security Guard の機能を使用できます。
左側のナビゲーションウィンドウで、[システム設定] をクリックして [システム設定] ページを開きます。
このページでは、次の操作を実行できます。
- ウォーターマークベースの追跡：データウォーターマークファイルの保存期間を設定します。
- タギング構成：MaxCompute データのセキュリティレベルを表示するかどうかを設定します。
- アラート設定：アラート情報を受信するためのメールアドレスと Webhook アドレスを設定します。
- マスキング設定：機密データのリアルタイム検知を有効にするかどうかを設定します。

ウォーターマークベースの追跡

[システム設定] > [ウォーターマークベースの追跡] タブで、データウォーターマークファイルの保存期間を 1 年、2 年、または 3 年に設定できます。たとえば、追跡期間を 2 年に設定した場合、データ漏洩が発生した際に過去 2 年間の操作を追跡して、漏洩の原因を特定できます。

説明

Data Security Guard は、漏洩したファイルからウォーターマーク情報を抽出することで、データを漏洩した可能性のあるオーナーを特定し、データ漏洩の原因を追跡するのに役立ちます。詳細については、「データトレーサビリティ」をご参照ください。

タギング構成

[システム設定] > [タギング構成] タブで、MaxCompute データの分類結果に基づいてラベルを適用するかどうかを選択できます。この機能を有効にすると、データの分類レベルが、対応する MaxCompute テーブルの列に感度レベルラベルとして追加されます。このラベルは、DataWorks データマップのテーブル詳細ページにある [フィールド情報] > [セキュリティレベル] 列に表示されます。詳細については、「テーブル詳細の表示」をご参照ください。

説明

ラベリングを有効にしてもデータマップで列レベルのセキュリティレベルが表示されない場合は、[列レベルのアクセス制御] スイッチがオンになっていることを確認してください。詳細については、「ラベルベースのアクセス制御」をご参照ください。
ラベリングを有効にすると、MaxCompute プロジェクトの列分類結果がアクセス制御に影響します。[機密データ検知結果の表示と手動修正] ページでフィールドレベルを確認する必要があります。MaxCompute で設定されたアクセス権限レベルラベルがフィールドのセキュリティレベルより低い場合、そのフィールドにはアクセスできません。アクセス権限レベルラベルを設定するには、「ラベルベースのアクセス制御」をご参照ください。

アラート設定

[システム設定] > [アラート設定] タブで、アラート情報を受信するメールアドレスまたは Webhook アドレスを設定できます。機密データが検知されると、関連担当者にアラートが送信され、迅速なリスク評価と対応を促します。

メール受信者アドレス
アラート情報を受信するメールボックスを設定します。データリスクが検知されると、プラットフォームはこのメールボックスにアラートを送信します。新しいアラート連絡先を追加するには、「アラート連絡先の表示と設定」をご参照ください。
Webhook 受信元アドレス
DataWorks は、DingTalk グループ、WeCom、Lark の Webhook URL をサポートしています。データリスクが検知されると、プラットフォームは設定に基づいて指定されたグループにアラートを送信します。
説明
DataWorks Enterprise Edition のみ、WeCom または Lark へのアラート情報のプッシュをサポートしています。

脱感作設定

[システム設定] > [非識別化設定] タブでは、機密データのリアルタイム検出を有効または無効にできます。機密データ検出ルールとデータマスキングルールの両方を設定した状態でデータをクエリまたは表示すると、プラットフォームは次の論理チェックを実行します。

リアルタイム検知が有効な場合：プラットフォームはまず、既存の検知結果に基づいてデータが機密であるかどうかをチェックします。その後、結果に基づいてアクションを実行します。
- データが機密である場合、表示される前にマスキングされます。
- データが機密でない場合、プラットフォームはリアルタイム検知タスクを開始して再評価します。その後、データが機密であると識別された場合、データマスキングルールが直ちに有効になり、データは表示される前にマスキングされます。
説明
[リアルタイムの機密データ検知] 機能は、新しいエントリに含まれる機密データなど、プラットフォームがすべての機密データを確実に検知できるように、デフォルトで有効になっています。
リアルタイム検知が無効な場合：すでに機密として識別されているデータのみが、データマスキングルールに従ってマスキングされます。