すべてのプロダクト
Search

このプロダクト

    DataWorks:データマスキング

    ドキュメントセンター

    DataWorks:データマスキング

    最終更新日:Nov 26, 2025

    データマスキングは、データセキュリティにおける重要な手段です。DataWorks は、静的データマスキング、動的データマスキング、エンジンレベルのマスキングをサポートし、組織がさまざまなシナリオで機密データを保護するのに役立ちます。特定のマスキングルールとポリシーを構成して機密データを正確にマスキングすることで、データ開発および分析中のデータセキュリティを確保できます。

    機能紹介

    データマスキング機能は、使用および転送中の機密データを保護し、不正なシナリオでの直接的な公開を防ぎます。データ分類と等級付けの結果に基づき、データマスキングは特定された機密データにさまざまなマスキングまたは変換アルゴリズムを適用します。これにより、さまざまなシナリオでデータが安全に表示されることが保証されます。

    1. 静的データマスキング

      • 機能ソースから宛先へのデータ書き込み時に、機密データを恒久的に置き換えてマスキングします。マスキングされたデータは宛先のデータソースに保存され、生データは恒久的に削除されます。

      • シナリオ:このメソッドは、主に DataWorks Data Integration のリアルタイム同期タスクで使用されます。たとえば、本番データベースから実際のユーザーデータをマスキングし、マスキングされたデータを開発者環境やテスト環境に同期して安全に使用できます。

      • 特徴

        • 物理的な置き換え:マスキング結果は恒久的であり、高いセキュリティを提供します。

        • 電子透かし:マスキングプロセス中に、目に見えない電子透かしを埋め込むことをサポートします。データ漏洩が発生した場合、ウォーターマークを使用して漏洩元を追跡できます。

    2. 動的データマスキング

      • 機能:ユーザーがデータをクエリまたはアクセスする際に、事前設定されたポリシーに基づいてリアルタイムで機密データをマスキングします。物理的に保存されている生データは変更されません。同じデータにアクセスしても、ユーザーによって表示される結果は異なります。

      • シナリオ:このメソッドは、本番環境でさまざまなユーザーロールのデータ可視性を制御するために使用されます。たとえば、顧客サービス担当者がユーザーテーブルをクエリすると、電話番号は「138****1234」のように表示されます。一方、そのスーパーバイザーは完全な電話番号を閲覧できます。

      • 特徴

        • オンデマンドマスキング:生データを変更しません。これにより、高い柔軟性が提供され、データセキュリティとビジネスの可用性のバランスが保たれます。

        • 多層保護

          • アプリケーションレイヤーのマスキング:ポリシーは、特定の DataWorks モジュールを介してデータにアクセスした場合にのみ有効になります。

          • エンジンレベルのマスキング (MaxCompute/Hologres):ポリシーはデータベースエンジンレイヤーで適用されます。使用するアクセスツールに関係なく有効になり、最も高い優先度を持ちます。

    コア構成:静的および動的データマスキングの両方で、マスキングルールを作成する必要があります。ルールは、電話番号などの特定のデータの型に対して、ハッシュ化、マスキング、置き換えなどのマスキングメソッドを指定します。動的データマスキングの場合、マスキングポリシーも構成する必要があります。これらのポリシーは、どのユーザーがどの条件下でルールをトリガーするかを定義します。

    制限事項

    • 対象ユーザー:この機能は、DataWorks Professional Edition または Enterprise Edition のユーザーが利用できます。また、Security Center で DataWorks の新しいデータセキュリティ機能を有効にする必要があります。

    • サポートされているリージョン:中国 (杭州)、中国 (上海)、中国 (北京)、中国 (張家口)、中国 (ウランチャブ)、中国 (深セン)、中国 (成都)、中国 (香港)、および日本 (東京)。

    • サポートされているコンピュートエンジン:MaxCompute および Hologres。

    前提条件

    • 使用する Alibaba Cloud アカウントまたは RAM ユーザーは、次のいずれかの条件を満たす必要があります:

      • Alibaba Cloud アカウントまたは RAM ユーザーに AliyunDataWorksFullAccess ポリシーがアタッチされている。

      • Alibaba Cloud アカウントまたは RAM ユーザーに DataWorks のテナントセキュリティ管理者ロールが割り当てられている。

      • Alibaba Cloud アカウントまたは RAM ユーザーに DataWorks のテナント管理者ロールが割り当てられている。

    • 新規ユーザーガイドの手順を完了していること。

    機能へのエントリーポイント

    1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。

    2. 左側のナビゲーションウィンドウで、[機密データ保護] > [データ難読化] を選択します。

    動的データマスキングポリシー

    マスキングルールの追加

    重要

    DataWorks の業界テンプレートには、一般的なデータの型に対応する定義済みのマスキングルールが含まれています。カスタムのマスキングルールを作成するには、まず業界テンプレート内で該当するデータの型のルールを無効にする必要があります。

    1. [データ難読化] ページで、[動的難読化] タブをクリックします。

    2. [動的データマスキング] タブで、[ルール] タブをクリックします。

    3. 左上隅にある [新規ルール] ボタンをクリックして、動的マスキングメソッドを構成します。主要なパラメーターは以下のとおりです:

      フィールド

      説明

      データ型

      マスキング対象のデータの型。

      脱感作モード

      ユーザーがこのデータの型にアクセスしたときにデータをマスキングするために使用されるメソッド。

      説明

      [生データ] を入力して、[難読化後のデータ] が期待どおりかを確認します。

      脱感作戦略に適用

      このマスキングルールが適用される範囲。範囲には、ユーザー、機能範囲、およびデータが含まれます。

    4. 構成が完了したら、[確認] をクリックしてマスキングルールを保存します。

    データマスキングポリシーの追加

    1. [動的難読化] タブをクリックし、次に [難読化戦略] タブをクリックします。

    2. 左上隅にある [新規ポリシー] ボタンをクリックしてポリシーを構成します。

      • 設定: [有効条件]

        マスキングルールは、その有効化条件が満たされたときにトリガーされます。パラメーターは以下のとおりです:

        構成項目

        説明

        [ポリシー名]

        マスキングポリシーの名前。

        ユーザースコープ

        ポリシーはすべてのユーザーまたは特定のユーザーに適用できます。

        DataWorks 関数

        ポリシーは、指定された DataWorks 機能 ([データマップ][データ分析]、または Data Studio) を介して機密データにアクセスしたときに有効になります。

        [対象項目]

        マスキングルールは、ユーザーが指定されたプロジェクトまたはデータベース内の機密データにアクセスしたときに有効になります。

        データ型

        マスキングルールは、ユーザーが指定された機密データの型にアクセスしたときに有効になります。ルールには、1 つ以上の機密データの型が含まれます。

        重要

        このデータの型のマスキングルールは、事前に構成して有効にしておく必要があります。

      • 設定する [例外条件 (ホワイトリスト)]

        マスキングルールは、その例外条件が満たされた場合はトリガーされません。パラメーターは以下のとおりです:

        構成項目

        説明

        [データの型]

        ターゲットデータのデータの型。ユーザーがこれらの型のデータにアクセスした場合、マスキングは実行されません。

        説明

        データの型のマスキングルールは、事前に構成して有効にしておく必要があります。

        [ホワイトリストに登録されたユーザー]

        1 人以上の RAM ユーザーまたはユーザーグループ。これらのユーザーが指定されたデータの型にアクセスした場合、マスキングは実行されません。

        [有効期間]

        例外条件 (ホワイトリスト) の有効期間。特定の [期間] に設定するか、[無期限] にすることができます。

    3. ポリシーの優先度を調整する:[操作] 列で [その他] をクリックし、[上へ移動] または [下へ移動] を選択して、マスキングポリシーのマッチング順序を変更します。

    動的データマスキングの有効化

    重要

    有効化されたワークスペースでマスキングルールが構成されているデータの型について、DataWorks はマスキングポリシーを順に評価し、最初にヒットしたポリシーを適用します。

    ワークスペースに対して動的データマスキングを有効にする必要があります。この機能が有効になると、Data Development と DataAnalysis の動的データマスキングポリシーが有効になります。

    1. [動的難読化] タブで、[ワークスペース管理] タブをクリックします。

    2. [ワークスペース管理] タブでは、[ステータス] 列で個別のワークスペースを有効または無効にできます。また、複数のワークスペースを選択し、左下隅の [一括有効化] または [一括無効化] をクリックすることもできます。

    エンジンレベルのマスキング

    エンジンレベルのマスキングは、MaxCompute と Hologres でサポートされています。構成プロセスは動的難読化ポリシーと同様ですが、サポートされているマスキングアルゴリズムが異なります。詳細については、「動的データマスキングポリシー」をご参照ください。

    静的データマスキング

    静的データマスキングは、機密データを宛先に書き込む際に物理的に置き換えます。マスキングされたデータは生データを恒久的に上書きします。

    重要

    静的データマスキングルールは、この機能が構成されている DataWorks Data Integration のリアルタイム同期タスクにのみ適用されます。この機能はデフォルトで有効になっています。必要に応じて無効にすることもできます。

    1. [データ難読化] ページで、[静的難読化] タブをクリックします。

    2. 左上隅にある [新規ルール] ボタンをクリックして、静的マスキングルールを構成します。主要なパラメーターは以下のとおりです:

      構成項目

      説明

      [データの型]

      マスキングルールを適用するデータの型 (「銀行カード番号」など) を選択します。既存の型を選択するか、新しい型を追加できます。

      [難読化ルール名]

      ルールに明確でわかりやすい名前を付けます。

      脱感作モード

      マスキングアルゴリズムを選択します。

      • マスキング:マスキングまたは保持する文字範囲を正確に定義します。たとえば、左から右へ、1 文字目から 2 文字目を マスクし、3 文字目から 4 文字目を マスクしないのように設定します。

      • ハッシュ化:ソルト値を設定して、ハッシュ暗号化のセキュリティを向上させます。

      • カスタム形式保持変換:マスキングの特徴値と置き換え用の文字セットを設定します。

      データウォーターマーク

      有効にすると、システムはマスキング操作中にデータに目に見えないウォーターマークを埋め込みます。このウォーターマークは、機密データを追跡するために使用できます。詳細については、「データトレーサビリティ」をご参照ください。

      有効

      [今すぐ有効化] または [無効] を選択します。有効化されたルールのみが関連する同期タスクで有効になります。

      効果検証

      検証ツールが提供されています。[生データ] ボックスにサンプルデータを入力し、[今すぐ検証] をクリックして、[難読化後のデータ] が期待どおりかを確認します。

    3. 構成が完了したら、[確認] をクリックしてルールを保存します。