リスク識別では、多次元アソシエーション分析とインテリジェントアルゴリズムを使用します。リスク識別ルールを使用すると、リスクのある操作を検出し、アラートをトリガーし、可視化された監査を実行できます。DataWorks は、さまざまなシナリオに対応する組み込みのリスク識別ルールを提供しており、ビジネスシナリオに基づいてカスタムルールを作成できます。この トピックでは、リスク識別ルールを作成および管理する方法について説明します。
背景
データセキュリティガードは、DataWorks に取り込まれるデータをフィルタリングします。さまざまなシナリオで機密データを識別できるよう、DataWorks は以下のメリットを持つ強化されたリスク識別機能を提供します:
-
使いやすさ
このルールは、データアクセスリスク、データエクスポートリスク、データ操作リスク、およびその他のリスクタイプの 4 つのリスクタイプに対応しています。また、[Accessed At]、機密データタイプ、[訪問]などの複数のディメンションを組み合わせて、さまざまなリスクを識別することもできます。
-
高い精度
この方法では、タイムウィンドウ内のイベント発生回数をしきい値と比較することで、精度を向上させ、誤検出を減らします。たとえば、同じイベントが 10 分以内に 3 回を超えて発生した場合にのみ、リスクがトリガーされます。
-
きめ細かい管理
リスクレベルをHigh、Medium、Lowとして設定できます。
-
柔軟なルール
この機能には、一般的なシナリオ向けにすぐに使用できる組み込みルールが含まれています。ビジネス要件に基づいて、カスタムリスク識別ルールを作成することもできます。詳細については、「組み込みリスク識別ルール」および「リスク識別ルールの作成」をご参照ください。
制限事項
-
エディション要件
-
リスク識別管理は、DataWorks Professional Edition 以降でのみ利用できます。
-
組み込みのリスク識別ルールは、DataWorks Enterprise Edition でのみ利用できます。
-
-
アラート方法
DataWorks がサポートするアラート方法は、メールと Webhook のみです。
説明DataWorks は、DingTalk グループ、WeCom、Lark 向けの Webhook URL をサポートしています。WeCom または Lark へアラートをプッシュするには、Enterprise Edition が必要です。
リスク識別管理
-
[Data Security Guard]に移動します。
DataStudioページに移動します。
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[DataStudioに移動] をクリックします。
左上隅の
アイコンをクリックし、 を選択し、[今すぐ試す] をクリックしてデータセキュリティガードページに移動します。 説明Alibaba Cloudアカウントに必要な権限が付与されている場合、Data Security Guardのホームページに直接アクセスできます。
Alibaba Cloudアカウントに必要な権限が付与されていない場合、Data Security Guardの権限付与ページにリダイレクトされます。 Data Security Guardの機能は、Alibaba Cloudアカウントに必要な権限が付与された場合にのみ使用できます。
-
リスク識別に移動します。
[Data Security Guard]ページの左側のナビゲーションペインで、 をクリックしてリスク識別ページを開きます。このページで、リスク識別ルールを作成および管理できます。
リスク識別には、一般的なシナリオ向けのさまざまな組み込みルールが含まれています。カスタムリスク識別ルールを作成することもできます。詳細については、「組み込みリスク識別ルール」および「リスク識別ルールの作成」をご参照ください。
組み込みのリスク識別ルール
リスク識別機能には、以下の組み込みルールが含まれています。
|
名前 |
タイプ |
レベル |
説明 |
|
勤務時間外 (19:00以降) の大量の機密データのクエリ |
データアクセスリスク |
[Low] |
このルールは、以下の時間帯にクエリされたデータ量が 10,000 を超えた場合にトリガーされます。
|
|
類似した SQL クエリ |
データアクセスリスク |
[Low] |
このルールは、10 分以内に 5 つ以上の類似した SQL クエリが実行された場合にトリガーされます。 |
|
大量の機密データの一括クエリ |
データアクセスリスク |
[Medium] |
このルールは、単一の操作でクエリされたデータ量が 10,000 を超えた場合にトリガーされます。 |
|
大量の機密データの一括エクスポート |
データエクスポートリスク |
[High] |
このルールは、単一の操作でエクスポートされたデータ量が 10,000 を超えた場合にトリガーされます。 |
|
勤務時間外 (22:00以降) の大量の機密データのエクスポート |
データエクスポートリスク |
[High] |
このルールは、以下の時間帯にエクスポートされたデータ量が 10,000 を超えた場合にトリガーされます。
|
リスク識別ルールの作成
-
ルールを計画し、前提条件を満たします。
データロケーション、データプロパティ、[View User Information]、[操作時間]などのディメンションからリスクのあるデータを識別し、よりきめ細かなルールを作成できます。データプロパティと[View User Information]のサブカテゴリを使用してリスク識別条件を設定する場合は、まず以下の準備を完了する必要があります。
リスク識別ディメンション
サブカテゴリ
説明
データプロパティ
[Data classification]
特定のレベルでリスクのあるデータを識別するには、まずデータ分類レベルを定義する必要があります。詳細については、「機密データの分類とレベルの設定」をご参照ください。
[Data classification]
特定のカテゴリのリスクのあるデータを識別するには、まずデータカテゴリを定義する必要があります。詳細については、「データ識別ルールの設定と識別タスクの実行」をご参照ください。
[機密列タイプ]
特定の機密列でリスクのあるデータを識別するには、まず機密列タイプを定義する必要があります。詳細については、「データ識別ルールの設定と識別タスクの実行」をご参照ください。
[View User Information]
User Group
現在の Alibaba Cloud アカウントの特定のユーザーグループのリスクのあるデータを識別するには、まずユーザーグループを設定する必要があります。詳細については、「ユーザーグループの設定」をご参照ください。
RAM Role
RAM ユーザーに関連するリスクを識別するには、まずそれらを作成する必要があります。詳細については、「RAM ユーザーの作成」をご参照ください。
-
[リスク識別管理] ページの右上隅にある [+リスク識別ルール] をクリックします。
-
[リスク識別ルールを作成] ダイアログボックスで、ルールパラメーターを設定します。
説明現在、作成できるのは 統計関連ルール のみです。統計関連ルール は、単一のイベントに対して集計統計としきい値の比較を実行するために使用されます。このルールは、イベントの数が設定されたしきい値を超えた場合にトリガーされます。たとえば、低権限ユーザーが勤務時間外に 10,000 件を超える機密データレコードにアクセスした場合にトリガーされるルールを設定できます。
-
ルールの基本情報を設定します。
ルールタイプを [統計関連ルール] に設定します。設定プロセスには、[基本情報]、[ルール定義]、[アラート設定] の 3 つのステップがあります。
パラメーター
説明
(必須) ルール名
リスク識別ルールの名前です。長さは 1~30 文字で、特殊文字は使用できません。
(必須) Rule Type
識別するリスクのタイプ。有効な値:
-
データアクセスリスク:データアクセスに関連する潜在的なリスクを識別します。
-
データエクスポートリスク:データのエクスポートに関連する潜在的なリスクを識別します。
-
データ削除リスク:データの削除に関連する潜在的なリスクを識別します。
-
データ更新リスク:データの更新に関連する潜在的なリスクを識別します。
-
データベース/テーブル操作リスク:データベースまたはテーブル操作に関連する潜在的なリスクを識別します。
-
データ認可リスク:データ認可に関連する潜在的なリスクを識別します。
(必須) Rule Level
ルールの重大度レベルです。有効な値は [Low]、[Medium]、[High] です。重要なデータを識別するルールの場合、ルールレベルを「高」に設定できます。
(任意) Description
リスク識別ルールの説明です。長さは 1~100 文字です。
-
-
Next Step をクリックします。
-
リスク識別条件としきい値を設定します。
-
リスク識別条件を設定します。
DataWorks では、データロケーション、データプロパティ、[View User Information]、[操作時間]などのディメンションからリスクのあるデータを識別できます。これにより、シナリオ固有のきめ細かなルールを作成できます。
説明最大 10 個の条件を追加できます。ディメンションに複数の条件を追加するには、[+比較を追加] をクリックします。すべての条件は [And] 演算子で結合されます。
-
データロケーション
リスクをスキャンするデータロケーションの範囲を指定します。
パラメーター
説明
必須
[選択したロケーションをフィルター]
選択したロケーションを含めるか除外するかを指定します。有効な値:
-
≠:指定したロケーションをリスクスキャンから除外します。
-
=:指定したロケーションのみをリスクスキャンに含めます。
はい
[データエンジン名]
ルールを適用するエンジンを選択します。
説明-
現在、MaxCompute のリスクのみを識別できます。
-
各比較では 1 つのエンジンしか指定できません。複数のエンジンを指定するには、[+比較を追加] をクリックして条件を追加します。
はい
プロジェクトスペース名
ルールを適用するターゲットワークスペースを選択します。プロジェクトスペース名 は、選択したエンジン内のワークスペースに対応している必要があります。ドロップダウンリストからワークスペースを選択するか、名前を入力して検索できます。
説明-
ドロップダウンリストには最大 100 個のワークスペースが表示されます。
-
名前検索はあいまい検索をサポートしています。キーワードを入力して、名前にキーワードが含まれるワークスペースを検索できます。
-
各比較では 1 つのワークスペースしか指定できません。複数のワークスペースを指定するには、[+比較を追加] をクリックして条件を追加します。
はい
Data Table Name
ルールのターゲットテーブルを入力します。カンマ (,) で区切って、1 つ以上のテーブル名を入力できます。次の点にご注意ください:
-
1 つのテーブル名は最大 30 文字です。すべてのテーブル名の合計の長さは 100 文字を超えることはできません。
-
アスタリスク (
*) ワイルドカードを使用できます。たとえば、*nameは、名前がnameで終わるすべてのテーブルのデータに一致します。
いいえ。 このパラメーターを空にした場合、ルールは選択したワークスペース内のすべてのテーブルに適用されます。
-
-
データプロパティ
プロパティに基づいてスキャン対象のデータをフィルタリングします。複数の比較を追加した場合、すべての条件が満たされた場合にのみリスクがトリガーされます。
パラメーター
説明
Property
リスクのあるデータを識別するためのプロパティカテゴリを選択します。次のプロパティカテゴリを使用できます:
-
[Data classification]:識別するリスクのあるデータの分類レベルを指定します。まずデータ分類レベルを定義する必要があります。詳細については、「機密データの分類とレベルの設定」をご参照ください。
-
[Data classification]:識別するリスクのあるデータのカテゴリを指定します。まずこれらのカテゴリを定義する必要があります。詳細については、「データ識別ルールの設定と識別タスクの実行」をご参照ください。
-
機密列タイプ:リスクのあるデータをスキャンする機密列のタイプを指定します。まず機密列タイプを定義する必要があります。詳細については、「データ識別ルールの設定と識別タスクの実行」をご参照ください。
[選択したプロパティをフィルター]
選択したプロパティを含めるか除外するかを指定します。有効な値:
-
≠:指定したプロパティをリスクスキャンから除外します。
-
=:指定したプロパティのみをリスクスキャンに含めます。
-
-
[View User Information]
リスクのあるデータを識別するためのユーザー情報の範囲をフィルタリングします。複数の比較を追加した場合、すべての条件が満たされた場合にのみリスクがトリガーされます。[+情報設定を追加] をクリックして複数の項目を追加できます。項目を削除するには、その横にある削除アイコンをクリックします。
パラメーター
説明
[情報カテゴリ]
リスクのあるデータを識別するために使用するユーザー情報カテゴリを選択します。有効な値:
-
[User Group]:Alibaba Cloud アカウント配下のユーザーグループの名前。まずユーザーグループを設定する必要があります。詳細については、「ユーザーグループの設定」をご参照ください。
-
[RAM Role]:Alibaba Cloud アカウントの RAM ユーザーを指定します。まず RAM ユーザーを作成する必要があります。詳細については、「RAM ユーザーの作成」をご参照ください。
-
ユーザー名:現在ログインしているユーザー。
[選択したユーザー情報をフィルター]
-
≠:指定したユーザー情報をリスクスキャンから除外します。
-
=:指定したユーザー情報のみをリスクスキャンに含めます。
-
-
[操作時間]
リスクのあるデータを識別するための操作の時間範囲をフィルタリングします。
パラメーター
説明
[時間範囲を選択]
曜日と時間をクリックして時間範囲を選択します。月曜日から日曜日まで、1 時間単位で任意の時間を選択できます。複数の時間範囲を追加できます。追加された時間範囲は相互に排他的です。たとえば、複数の条件で月曜日を選択することはできません。
[選択した時間をフィルター]
-
≠:指定した時間をリスクスキャンから除外します。
-
=:指定した時間のみをリスクスキャンに含めます。
-
-
-
しきい値を設定します。
DataWorks はイベントの集計をサポートしています。タイムウィンドウ内のイベント発生回数をしきい値と比較することで、リスクを識別できます。[+しきい値比較を追加] をクリックして、複数のしきい値条件を設定します。複数の比較を追加した場合、すべての条件が満たされた場合にのみリスクがトリガーされます。
パラメーター
説明
[しきい値カテゴリ]
-
単一データ量:単一の操作におけるデータ量に基づいてリスクを識別します。データ量が指定されたしきい値を超えると、リスクがトリガーされます。値は 1~10,000,000 の整数である必要があります。単位:行。 デフォルト値:1。
-
累積発生回数:タイムウィンドウ内の単一イベントの頻度に基づいてリスクを識別します。発生回数が指定されたしきい値を超えると、リスクがトリガーされます。値は 1~10,000 の整数である必要があります。単位:回。 デフォルト値:10。
-
累積データ量:指定されたタイムウィンドウ内で操作されたデータの総量に基づいてリスクを識別します。データ量が指定されたしきい値を超えると、リスクがトリガーされます。値は 1~10,000,000 の整数である必要があります。単位:行。 デフォルト値:1。
説明DataWorks は、単一のイベントを自動的に分類および識別します。
[タイムウィンドウ]
イベント発生回数をカウントするためのタイムウィンドウです。 デフォルト値は 10 分です。 有効な値:
-
[分]:
1~59の値。 -
[hours]:
1~23の値。 -
[Day]:
1~7の値。
説明このパラメーターは、[しきい値カテゴリ] が [累積発生回数] に設定されている場合にのみ必須です。
-
-
-
Next Step をクリックします。
-
アラート方法を設定します。
リスクが検出されると、設定された方法で通知を受け取り、リスクに迅速に対応できます。Mail と Webhook をアラート方法として選択できます。
説明アラート方法を選択する前に、システム設定でメールと Webhook の設定が完了していることを確認してください。
-
Save をクリックして、ルールの作成を完了します。
デフォルトでは、カスタムルールは作成後に無効になっています。Risk identification rules ページで対象のルールを見つけ、[再有効化] をクリックして有効化します。
-
リスク識別ルールの管理
[リスク識別] ページでは、作成したルールとその詳細を確認し、編集できます。
|
[エリア] |
[説明] |
|
1 |
このエリアでは、Type of Risk、Risk Level、[組み込み]、[ルール名] などの条件でルールリストをフィルタリングできます。 説明
ルール名はあいまい一致で検索できます。 キーワードを入力すると、ルール名にそのキーワードを含むルールを検索できます。 |
|
2 |
このエリアでは、次の操作を実行できます:
|
|
3 |
このエリアでは、選択したルールに対して一括操作を実行できます。 利用可能なアクションは、[一括有効化]、[一括無効化]、Batch delete です。 説明
DataWorks では、組み込みのリスク識別ルールは削除できません。 削除できるのは、Failure 状態のカスタムルールのみです。 |
次のステップ
リスク識別ルールを作成して有効化した後、[データリスク] ページに移動して、リスクの詳細を表示し、処理します。詳細については、「データリスクの表示と処理」をご参照ください。