すべてのプロダクト
Search
ドキュメントセンター

DataWorks:データセキュリティガード

最終更新日:Jun 03, 2026

データセキュリティガードは、データ検出、マスキング、ウォーターマーキング、アクセス制御、リスク識別、リネージ追跡を提供し、DataWorks 内の機密データを識別して保護するのに役立ちます。

ワークフロー

データセキュリティガードは、準備、アクティブな保護、事後監査の 3 段階のワークフローに従います。

image
  1. ステップ 1:準備

    機密データが生成される前に、データ資産を分類および等級付けし、検出ルールを設定します。

    操作

    説明

    参照

    データ分類と等級付けの設定

    価値、内容の機密度、影響範囲に基づいて、データを機密度レベルに分類します。管理原則と開発要件はレベルによって異なります。

    DataWorks は組み込みのテンプレートを提供します。カスタムの分類名と等級付け名を作成することもできます。

    機密データ検出ルールの設定

    機密列のタイプを定義し、データソースと目的に基づいてルールを設定します。ルールに一致する内容は機密としてマークされます。

    サポートされている検出方法:

    • データ内容の検出:組み込みのルール、カスタムモデル、サンプルライブラリ、または正規表現を使用します。

    • メタデータ検出:ワイルドカード、プレフィックス、サフィックス、または包含パターンを使用して、列名とコメントを照合します。

    • 組み合わせ検出:AND/OR 演算子で複数の条件を組み合わせます。

    その他の設定

    • システム設定:ウォーターマーク追跡期間の設定、分類結果への MaxCompute 列ラベルのタグ付け、検出結果に関するアラート通知を受信するためのメールアドレスと Webhook URL の指定、および未識別の列に対するリアルタイム検出の有効化を行います。

    • ユーザーグループ設定:同一の権限を持つアカウントをグループに一括で追加します。その後、グループを許可リストに追加することで、メンバーがマスキングされていないデータにアクセスできるようになります。

  2. ステップ 2:アクティブな保護

    ルールが有効になると、DataWorks は一致する機密データを自動的に検出します。結果は、以下のデータセキュリティガードモジュールで確認できます。

    操作

    説明

    参照

    データマスキング管理

    検出された機密データに対してマスキングルールを設定します。マスキングポリシーは機密度レベルによって異なります。

    マスキングの種類:

    • 動的マスキング:結果ページのクエリ実行時にデータをマスキングします。

    • 静的マスキング:データをマスキングし、指定された場所に保存します。

    メソッドには、フォーマット保持暗号化、マスキング、ハッシュ化、文字置換、区間変換、丸め処理、および Null化が含まれます。

    生データへのアクセスを許可するには、許可リストを設定します。

    要件に合ったマスキングの種類とメソッドを選択します。

    リスク識別管理

    組み込みのリスクルールはただちに有効になります。データ量や頻度などのしきい値比較を使用して、カスタムルールを作成することもできます。有効なルールは、リスクのある操作を自動的に検出し、アラートを送信します。

    リスクのモニタリングと対応

    検出されたリスクの詳細を表示し、リスクなしまたは対応済みとしてマークします。

  3. ステップ 3:事後監査と追跡

    リスクモニタリングの結果に基づいて、機密データを処理し、セキュリティ管理を実行します。

    操作

    説明

    参照

    データ操作監査

    データセキュリティガードは、IP アドレス、データベースユーザー、タイムスタンプ、リネージ情報など、すべての機密データ操作をログに記録します。

    誤って識別された機密データは手動で修正できます。

    データウォーターマーク追跡

    漏洩したデータファイルからウォーターマーク情報を抽出し、データ漏洩の発生源を追跡します。

制限事項

エディションの制限

データセキュリティガードには、DataWorks Standard Edition 以上が必要です。DataWorks の有効化方法については、「DataWorks の購入と有効化」をご参照ください。サポートされる機能はエディションによって異なり、「DataWorks のエディションの比較」に記載されています。

権限の制限

データセキュリティガードを有効にできるのは、次のいずれかの権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーのみです:

説明
  • テナント管理者とテナントレベルのセキュリティ管理者は、データセキュリティガードのすべての機能を使用できます。

  • ワークスペースレベルのセキュリティ管理者は、割り当てられたワークスペースの機能にのみアクセスできます。「メンバーとロールの管理」を通じて、追加のワークスペース権限を付与します。

機能の使用

EMR、MaxCompute、および Hologres エンジンでは、データ検出と動的マスキングのみがサポートされています。

EMR エンジンの制限:

  • 機密データの検出とマスキングは、次の EMR クラスタータイプとストレージタイプのみをサポートします:

    説明

    次の表では、Supported は機能がサポートされていること、Not supported は機能がサポートされていないことを示します。

    EMR クラスタータイプ

    メタデータストレージタイプ

    データストレージタイプ:OSS

    データストレージタイプ:OSS-HDFS

    データストレージタイプ:HDFS

    New DataLake cluster

    Data Lake Formation (DLF)

    Not supported

    Not supported

    Not supported

    RDS instance

    Supported

    Supported

    Supported

    MySQL

    Supported

    Supported

    Supported

    Custom cluster

    Data Lake Formation (DLF)

    Not supported

    Not supported

    Not supported

    RDS instance

    Supported

    Supported

    Supported

    MySQL

    Supported

    Supported

    Supported

    Other clusters

    --

    Not supported

    説明

    この機能は現在、次のリージョンでのみ利用可能です:中国 (杭州)、中国 (上海)、中国東部 2 (金融クラウド)、中国 (北京)、中国北部 2 (金融クラウド)、中国 (張家口)、中国 (ウランチャブ)、中国 (深圳)、中国南部 1 (金融クラウド)、中国 (成都)、中国北部 2 (アリババクラウド政務)、中国 (香港)、米国 (シリコンバレー)、シンガポール、マレーシア (クアラルンプール)、ドイツ (フランクフルト)、インドネシア (ジャカルタ)、サウジアラビア (リヤド - パートナーリージョン)、タイ (バンコク)、および米国 (バージニア)。

  • EMR クラスターでデータセキュリティガードを使用するには、スケジューリング用の専用リソースグループをアップグレードする必要があります。DataWorks の DingTalk グループに参加し、テクニカルサポートに連絡してアップグレードをリクエストできます。

  • データセキュリティガードは、デフォルトでデータサンプリングに Alibaba Cloud アカウントを使用します。クラスターが Ranger または DLF-Auth を使用した LDAP 認証をテーブル権限に使用している場合は、アカウントマッピングを設定し、マッピングされたアカウントが EMR テーブルにアクセスできることを確認してください。「アクセス ID マッピングの設定」をご参照ください。

データセキュリティガードへのアクセス

  1. DataStudioページに移動します。

    DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、[データモデリングと開発] > [DataStudio] を選択します。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[DataStudioに移動] をクリックします。

  2. 左上隅の图标アイコンをクリックし、[すべての製品] > [データガバナンス] > [データセキュリティガード] を選択し、[今すぐ試す] をクリックしてデータセキュリティガードページに移動します。

    説明
    • Alibaba Cloudアカウントに必要な権限が付与されている場合、Data Security Guardのホームページに直接アクセスできます。

    • Alibaba Cloudアカウントに必要な権限が付与されていない場合、Data Security Guardの権限付与ページにリダイレクトされます。 Data Security Guardの機能は、Alibaba Cloudアカウントに必要な権限が付与された場合にのみ使用できます。