すべてのプロダクト
Search

このプロダクト

    DataWorks:データセキュリティガードのクイックスタート

    ドキュメントセンター

    DataWorks:データセキュリティガードのクイックスタート

    最終更新日:Feb 04, 2026

    データセキュリティガードは、データ検出、データマスキング、データウォーターマーキング、不正検知、データリネージなどの機能を提供するデータセキュリティ管理プロダクトで、機密データの管理と保護に役立ちます。本トピックでは、データセキュリティガードの基本的なワークフローを示し、組み込みルールを使用して phone データを xc_dpe_e2_dev プロジェクトでマスキングし、エクスポートリスクの監査を構成する方法を説明します。

    データセキュリティガードへの移動

    1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。

    2. 左側のナビゲーションウィンドウで、[データ利用セキュリティ] > [機密データ管理] をクリックして、[データセキュリティガード] ページに移動します。

      説明

      • ご利用の Alibaba Cloud アカウントに必要な権限が付与されている場合、データセキュリティガードページに直接アクセスできます。

      • ご利用の Alibaba Cloud アカウントに必要な権限が付与されていない場合、データセキュリティガードの権限付与ページにリダイレクトされます。ご利用の Alibaba Cloud アカウントに必要な権限が付与された後にのみ、データセキュリティガードの機能を使用できます。

    操作手順

    1. ステップ 1:データ分類と等級付けの構成

      このステップでは、データ資産をその価値、秘密度、影響範囲、分布に基づいて分類します。感度レベルが異なれば、管理原則や開発要件も異なります。

    2. ステップ 2:機密データ検出ルールの構成

      データソースと目的に基づいてデータ分類を定義し、機密フィールドタイプを構成して、ワークスペース内の機密データを検出できます。DataWorks には、組み込みのデータ分類と検出ルールが用意されています。必要に応じてカスタムルールを作成することもできます。

    3. ステップ 3:データマスキングルールの構成

      検出された機密データに対してデータマスキングルールを構成できます。データマスキングのコントロールは、必要に応じて感度レベルごとに異なります。

    4. ステップ 4:リスク検出ルールの構成

      インテリジェント分析技術とリスク検出ルールを使用して、リスクのある操作を事前に検出し、アラートを受信できます。これにより、包括的かつ効果的な方法でリスクを管理できます。

    5. ステップ 5:データの表示

      構成が完了したら、データセキュリティガードの関連モジュールでデータを表示できます。

    ステップ 1:データ分類と等級付けの構成

    データ資産を、その価値、秘密度、影響範囲、分布に基づいて、異なる感度レベルに分類できます。感度レベルが異なれば、管理原則や開発要件も異なります。DataWorks には、組み込みの分類と等級付けのテンプレートが用意されています。ビジネスニーズに応じて、データ分類と等級付けを編集することもできます。データセキュリティガードのインターフェイスで、左側のナビゲーションウィンドウに移動し、[ルール構成] > [データカテゴリと感度レベル] をクリックして、データ分類と等級付けを編集します。本トピックでは、DataWorks が提供するデフォルトのデータ等級付けを使用します。データ分類と等級付けの詳細については、「機密データの分類と等級付けの構成」をご参照ください。

    ステップ 2:機密データ検出ルールの構成

    DataWorks では、感度レベルと分類に基づいて機密フィールドタイプを定義し、ワークスペース内の機密データを検出できます。組み込みまたはカスタムの検出ルールを使用して、機密フィールドタイプを構成できます。詳細については、「データ検出ルールの構成と検出タスクの実行」をご参照ください。

    本トピックでは、phone 機密フィールドタイプを構成する方法の例を示します。この例では、組み込みの検出ルールを使用して電話番号を機密データとして定義し、xc_dpe_e2_dev ワークスペース内の電話番号を検出します。

    1. データセキュリティガードのインターフェイスで、左側のナビゲーションウィンドウの [ルール構成] > [機密データ識別] をクリックして、[機密データ識別] ページに移動します。

    2. データ分類と等級付けを構成します。

      分類とカテゴリ構成エリアには、デフォルトのデータカテゴリが用意されています。必要に応じて新しいカテゴリを作成することもできます。この例では、デフォルトのカテゴリ Basic Information を使用します。

    3. 機密フィールドタイプを構成します。

      1. [+ 機密フィールドタイプ] をクリックして、機密フィールドタイプを作成します。

      2. 機密フィールドタイプの基本情報を構成します。

        次の表に、主要なパラメーターを示します。

        パラメーター

        説明

        機密フィールドタイプ

        作成する機密フィールドタイプの名前。本トピックでは、例として phone を使用します。

        データカテゴリ

        機密フィールドタイプが属するデータ分類。データ分類は、分類と等級付けの構成セクションで定義できます。

        この例では、DataWorks でデフォルトで提供されている Basic Information カテゴリを使用します。

        感度レベル

        機密フィールドタイプが属するデータ等級。データ等級は、「ステップ 1:データ分類と等級付けの構成」で定義できます。

        本トピックの例では、レベルは 3 に設定されています。

      3. [次へ] をクリックします。

      4. 機密フィールドタイプのルールを構成します。

        次の図に、この例のルール構成を示します。

        image

        次の表にパラメーターを示します。

        パラメーター

        説明

        ヒットルール

        検出ルールにヒットする条件。有効値:

        • いずれかのルールを満たす:データ内容検出、フィールドコメント検出、またはフィールド名検出のいずれかの条件が満たされた場合に、検出ルールにヒットします。

        • すべてのルールを満たす:構成されたデータ内容検出、フィールドコメント検出、およびフィールド名検出のすべての条件が満たされた場合にのみ、検出ルールにヒットします。

        説明

        本トピックでは、[データ内容識別] ルールの構成を例として使用します。ルール構成の詳細については、「データ検出ルールの構成と検出タスクの実行」をご参照ください。

        この例では、[いずれかのルールを満たす] に設定されています。

        データ内容識別

        ルールタイプに基づいて定義される機密データ検出ルールの内容。機密データのテキストを照合するために使用されます。

        この例では、ルールタイプは [組み込み検出ルール] に設定され、検出するデータ内容は [携帯電話番号] に設定されています。携帯電話番号の特徴を持つデータは、機密データとして検出されます。

        ヒット率構成

        カスタム検出ルールのヒット率。空でない列内のデータ量が検出条件を満たし、指定されたしきい値を超えた場合、ルールにヒットします。その後、データは現在のタイプの機密データとして識別されます。

        この例では、しきい値は 50% に設定されています。これは、列内のデータの 50% 以上が条件を満たす場合、データが機密データとして識別されることを意味します。

      5. 構成が完了したら、[公開して使用] をクリックしてルールを有効にします。

        機密データ検出タスクの開始時刻は、タスクタイプによって異なります。

        説明

        1. リアルタイムタスク:タスクはすぐに開始されます。

        2. スケジュールタスク:タスク実行ボタンをクリックしてタスクを有効にします。プラットフォームは、構成に基づいてスケジュールされたスキャン時間に機密データの検出を開始します。

        3. 新規検出タスク:タスクは作成後すぐに開始され、プログレスバーが表示されます。進捗が 100% に達するとタスクは完了です。進捗は次の数式で計算されます:(タスクでスキャンされたテーブル数 / タスクでスキャンされる合計テーブル数) × 100%。

    ステップ 3:データマスキングルールの構成

    検出された機密データに対してデータマスキングルールを構成できます。データマスキングのコントロールは、必要に応じて感度レベルごとに異なります。DataWorks は、動的データマスキングと静的データマスキングをサポートしています。データマスキングの詳細については、「データマスキングルールの作成」をご参照ください。

    この例では、ステップ 2phone ルールで検出された機密データに対し、phone データマスキングルールを設定する方法を説明します。

    1. データセキュリティガードのインターフェイスで、左側のナビゲーションウィンドウの [ルール構成] > [データマスキング管理] をクリックして、[データマスキング管理] ページに移動します。

    2. データマスキングルールを構成します。

      1. image アイコンをクリックして、データマスキングルールを作成します。

      2. ルール情報を構成します。

        次の図に、この例のルール情報構成を示します。

        image

        構成

        説明

        機密フィールドタイプ

        マスクする機密フィールドタイプです。たとえば、ステップ 2 で設定した phone 機密フィールドタイプを選択します。

        データマスキングルール名

        データマスキングルールの名前。本トピックでは、例として phone という名前を使用します。

        データマスキングシナリオ

        データマスキングルールが適用されるシナリオを選択します。デフォルトでは、ステップ 1 で選択したシナリオが使用されます。必要に応じて、複数のシナリオを変更または追加することもできます。

        マスキングモード

        選択したデータの型をマスキングするために使用されるメソッド。この例では、[マスキング] > [先頭 3 桁と末尾 2 桁を表示] を選択します。携帯電話番号の場合、先頭 3 桁と末尾 2 桁のみが表示されます。他の桁はアスタリスク (*) に置き換えられます。

        データマスキングルールの構成の詳細については、「データマスキングルールの作成」をご参照ください。

    3. ワークスペースのデータマスキングを有効にします。

      データマスキングルールを構成した後、ルールを有効にするには、対象のワークスペースのクエリ結果のマスキングを有効にする必要があります。

      1. DataStudio に移動します。

      2. 左下隅の 设置 アイコンをクリックして、設定ページに移動します。

      3. [セキュリティ設定など] タブの [データセキュリティ] セクションで、ページクエリ結果のマスキングを有効にします。

    4. データマスキングルールが有効であることを確認します。

      DataStudio インターフェイスで、一時クエリを作成します。必要に応じてテーブルデータとクエリ文を構成できます。その後、関連する電話番号データをクエリし、クエリ結果をチェックしてマスキング効果を確認します。次の図に、マスキング効果の例を示します。Verifying data masking

    ステップ 4:リスク検出ルールの構成

    リスク検出管理では、多次元関連分析とアルゴリズムを使用します。インテリジェント分析技術は、リスク検出ルールを使用してリスクのある操作を事前に検出し、アラートを受信し、可視化を通じて監査を実行するのに役立ちます。DataWorks には、さまざまなシナリオに対応する組み込みのリスク検出ルールがあります。ビジネスシナリオに基づいてカスタムリスクルールを作成することもできます。リスク検出ルールの詳細については、「リスク検出管理」をご参照ください。

    このトピックでは、カスタムルールを作成して、ステップ 2 で設定した phone ルールで検出される機密データの不正検知を実行する例を説明します。xc_dpe_e2_dev プロジェクトで phone ルールに一致するデータエクスポート操作の数が 10 分以内に 10 以上の場合、そのエクスポート操作は高リスク操作として識別されます。

    1. データセキュリティガードのインターフェイスで、左側のナビゲーションウィンドウの [ルール構成] > [リスク識別ルール] をクリックして、[リスク識別ルール] ページに移動します。

    2. リスク検出ルールを構成します。

      1. 风险识别规则 アイコンをクリックして、リスク検出ルールを作成します。

      2. ルール情報を構成します。

        次の図に、この例のルール情報構成を示します。风险识别规则配置次の表にパラメーターを示します。

        セクション

        パラメーター

        説明

        基本情報

        ルール名

        カスタムルールの名前を指定します。本トピックでは、このパラメーターは Phone Data Export Risk に設定されています。

        ルールタイプ

        データリスクのタイプ。サポートされているタイプには、データアクセス、データエクスポート、データ操作などがあります。

        この例では、データエクスポートリスクを選択します。これは、電話タイプのデータをエクスポートする操作がリスクのある操作と見なされることを意味します。

        ルールレベル

        操作のリスクレベル。この例では、電話データのエクスポートを高リスクとして定義します。

        ルールの定義

        条件

        リスク検出ルールを定義します。データの場所、データプロパティ、ユーザー情報、操作時間などの条件に基づいて検出ルールを構成できます。

        この例では、データプロパティが選択されており、ステップ 2phoneタイプの機密データが 10 分以内に 10 回以上エクスポートされた場合にトリガーされるルールが設定されています。

        アラート設定

        アラート通知方法

        メールまたは Webhook でアラートメッセージを送信することを選択できます。

        この例では、Webhook を選択します。DingTalk ロボットの Webhook を構成する方法については、「DingTalk グループへのアラートメッセージの送信」をご参照ください。

        リスク検出管理の構成の詳細については、「リスク検出管理」をご参照ください。

    3. ルールを有効にします。

      作成したカスタムルールは、デフォルトで無効になっています。リスク検出管理ページで、risk of exporting phone data ルールを見つけて [再検証] をクリックして、ルールを手動で有効にします。

    ステップ 5:データの表示

    機密データ検出ルールとリスク検出ルールを構成した後、データセキュリティガードの関連モジュールに移動してリスクデータを表示できます。リスクデータは翌日 (T+1) に生成されます。

    機能モジュール

    説明

    機密データの概要

    ワークスペースや等級など、さまざまなディメンションからデータ資産を視覚的に表示します。このページでは、検出ルールにヒットしたフィールドとテーブルの総数と割合を表示できます。また、等級別およびプロジェクト別にルールにヒットしたフィールドの分布とリストを表示することもできます。

    機密データへのアクセスとエクスポート

    構成されたルールに基づいて検出された機密データのアクセス量、アクセス傾向、エクスポート量、エクスポート詳細を表示します。これにより、機密データへのすべてのアクセスをモニターできます。

    データリスクの表示

    構成されたリスク検出ルールにヒットしたリスクデータを複数のディメンションから提示します。これにより、さまざまなディメンションにわたるリスク分布、指定された期間のリスク傾向、およびリスクのあるプロジェクトのランキングを理解できます。高リスクの発生がある時間とプロジェクトを特定できます。また、ユーザー、時間、リスクを引き起こした操作などの詳細を表示して、迅速に特定して対処することもできます。

    データ追跡

    データ漏洩ファイルからウォーターマーク情報を抽出することで、宛先データを漏洩した可能性のあるオーナーを特定するのに役立ちます。