すべてのプロダクト
Search

このプロダクト

    DataWorks:セキュリティリスク

    ドキュメントセンター

    DataWorks:セキュリティリスク

    最終更新日:Dec 02, 2025

    セキュリティリスク機能は、潜在的なセキュリティ脅威やデータコンプライアンス違反を事前に特定するのに役立ちます。この機能は、リスク検知のための組み込みのエキスパートルールを提供し、リスクを視覚的に管理することで、検知と応答の効率を向上させます。また、特定のビジネスニーズやセキュリティポリシーに合わせて、カスタム検知ルールを作成することもできます。

    機能紹介

    セキュリティリスク機能は、ルール定義イベント検出アラート応答という 3 つのコアモジュールで構成されており、これらが連携して完全なサイクルを形成します。

    • リスク検知項目

      このモジュールは、リスク検知のためのルールライブラリです。「機密データの一括クエリ」や「機密データの頻繁な削除」などの組み込みのエキスパートルールが含まれています。また、独自のビジネスニーズに基づいてカスタム検知ルールを作成し、どの動作をセキュリティリスクと見なすかを定義することもできます。

    • リスクイベント

      リスクイベントは、有効化されたリスクチェック項目にヒットしたときに生成されます。このモジュールには、検知されたすべてのセキュリティリスクイベントが表示されます。チェック項目名や発生時刻などの基準でイベントをフィルターしたり、追跡したりできます。このモジュールは、日常のセキュリティ検査や事後分析のためのコアインターフェイスです。

    • アラートポリシー

      プロアクティブな応答を可能にするために、このモジュールでアラートポリシーを設定できます。「高リスク」イベントや特定の「機密データの一括エクスポート」イベントなど、特定の条件を満たすリスクイベントが発生すると、システムは指定された担当者に自動的にアラートを送信します。アラートは、メール、ショートメッセージ、または DingTalk/WeCom ロボットで送信できます。

    重要

    リスク検知結果は、T+1 の遅延で利用可能になります。これは、リスク検知がリアルタイムで実行されるのではなく、前日 (T) のデータのオフライン分析に基づいていることを意味します。したがって、本日 (T+1) に表示されるリスクイベントは、昨日発生した操作を反映しています。リスク分析やイベントの追跡を行う際は、この遅延にご留意ください。

    制限事項

    • 対象ユーザー:この機能は、DataWorks Professional Edition または Enterprise Edition のユーザーが利用できます。また、Security Center で DataWorks の新しいデータセキュリティ機能を有効にする必要があります。

    • サポート対象リージョン:中国 (杭州)、中国 (上海)、中国 (北京)、中国 (張家口)、中国 (ウランチャブ)、中国 (深セン)、中国 (成都)、中国 (香港)、日本 (東京)。

    • サポート対象コンピュートエンジン:MaxCompute および Hologres。

    前提条件

    • 使用する Alibaba Cloud アカウントまたは RAM ユーザーは、次のいずれかの条件を満たす必要があります:

      • Alibaba Cloud アカウントまたは RAM ユーザーに AliyunDataWorksFullAccess ポリシーがアタッチされている。

      • Alibaba Cloud アカウントまたは RAM ユーザーに DataWorks のテナントのセキュリティ管理者ロールが割り当てられている。

      • Alibaba Cloud アカウントまたは RAM ユーザーに DataWorks のテナント管理者ロールが割り当てられている。

    • 新規ユーザーガイドを完了していること。

    セキュリティリスクページへの移動

    1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、データガバナンス > セキュリティセンターを選択します。表示されたページで、セキュリティセンターへ移動をクリックします。

    2. 左側のナビゲーションウィンドウで、セキュリティ状況 > セキュリティリスクを選択します。

      image

    リスク検知項目の設定

    リスクチェック項目は、監視する特定のデータ操作の動作パターンを定義します。これらのチェック項目を作成および設定することで、潜在的なセキュリティ脅威や非準拠の操作を特定し、それらを特定の追跡可能なリスクイベントとして分類できます。

    組み込みのリスクチェック項目

    重要

    デフォルトの組み込みリスクチェック項目の構成は変更できますが、削除はできません。

    DataWorks は、いくつかの一般的な組み込みリスクチェック項目を提供しています。データセキュリティのニーズに基づいて、カスタムのリスクチェック項目を作成することもできます。次の表は、組み込みのリスクチェック項目の一部を説明しています。

    カテゴリ

    リスク名

    リスクの説明

    条件 / デフォルトのしきい値

    異常なソース

    データエグジット

    データが中国本土外の IP アドレスからダウンロードされます。IP アドレスは、海外の IP アドレスライブラリまたはカスタム IP リストからのものです。

    重要

    中国本土でのみサポートされています。中国 (香港) または海外ではサポートされていません。

    -

    リスク IP アドレスからのデータダウンロード

    データがリスク IP アドレスからダウンロードされます。IP アドレスは、リスクインテリジェンスライブラリまたはカスタム IP リストからのものです。

    -

    リスク IP アドレスからのデータアップロード

    データがリスク IP アドレスからアップロードされます。IP アドレスは、リスクインテリジェンスライブラリまたはカスタム IP リストからのものです。

    -

    異常な動作パターン

    類似 SQL クエリ

    指定された時間範囲内で類似の SQL クエリの数がしきい値を超えます。

    10 分以内にクエリ数 ≥ 10

    勤務時間外の機密データの一括クエリ

    勤務時間外に単一のクエリにおける機密データレコードの数がしきい値を超えます。

    • 勤務時間外とは、平日の 22:00 から 00:00 までと、非稼働日の終日です。

    • 単一操作のレコード数 ≥ 10,000

    勤務時間外の機密データの一括エクスポート

    勤務時間外に単一のエクスポートにおける機密データレコードの数がしきい値を超えます。

    機密データが存在するテーブルの削除

    機密フィールドを含むテーブルが削除されます。

    -

    機密データが存在するテーブルのクリア

    機密フィールドを含むテーブルが切り捨てられます。

    -

    高頻度操作

    機密データの頻繁なクエリ

    指定された時間範囲内で機密データのクエリ数がしきい値を超えます。

    5 分以内に操作数 ≥ 5

    機密データの頻繁な更新

    指定された時間範囲内で機密データの更新数がしきい値を超えます。

    機密データの頻繁な削除

    指定された時間範囲内で機密データの削除数がしきい値を超えます。

    機密データの頻繁なアップロード

    指定された時間範囲内で機密データのアップロード数がしきい値を超えます。

    機密データの頻繁なエクスポート

    指定された時間範囲内で機密データのエクスポート数がしきい値を超えます。

    一括操作

    機密データの一括クエリ

    単一のクエリにおける機密データレコードの数がしきい値を超えます。

    単一操作のレコード数 ≥ 10,000

    機密データの一括更新

    単一の更新における機密データレコードの数がしきい値を超えます。

    機密データの一括削除

    単一の削除における機密データレコードの数がしきい値を超えます。

    機密データの一括アップロード

    単一のアップロードにおける機密データレコードの数がしきい値を超えます。

    機密データの一括エクスポート

    単一のエクスポートにおける機密データレコードの数がしきい値を超えます。

    カスタムチェック項目

    この機能を使用すると、操作対象、操作タイプ、データ量、頻度、オペレーター、時間などのさまざまな操作ディメンションを組み合わせて、詳細なリスク検知ルールを作成できます。システムは、有効化された検知ルールに基づいてデータ操作ログを分析し、対応するリスクイベントを生成します。

    1. セキュリティリスクページで、リスク検知項目タブをクリックして、リスクチェック項目リストページに移動します。

    2. 新しいテスト項目の作成をクリックして、カスタムチェック項目を作成します。設定パラメーターの詳細については、次の表をご参照ください:

      • 基本情報:チェック項目の基本的なプロパティとメタデータを定義します。

        パラメーター

        必須

        説明

        ポリシー名

        はい

        「コア顧客情報の一括エクスポートの検知」など、監視目的を明確に反映した名前をチェック項目に付けます。

        リスクの種類

        はい

        後の統計と管理のためにリスクを分類します。

        • 行動リスク:通常、ユーザーまたはシステムアカウントによって実行される、セキュリティリスクの可能性がある操作を指します。

        • 流通リスク:データが異なるシステム、アプリケーション、またはネットワーク境界間で転送される際に発生する可能性のあるリスクに焦点を当てます。

        リスクレベル

        はい

        このチェック項目に対応するリスクの重大度を定義します。システムは、このレベルに基づいてリスクを集計し、アラートを送信します。

        • 高リスク:重大なデータ侵害、ビジネスの中断、または主要なコンプライアンス問題につながる可能性のある動作。

        • 中リスク:潜在的なセキュリティ脅威をもたらす可能性があり、セキュリティ担当者による注意と監査が必要な動作。

        • 低リスク:一般的な非標準操作で、通常は監査または統計目的です。

        備考情報

        いいえ

        チェック項目の詳細な説明。背景、監視する特定のビジネスシナリオ、または関連するオーナーに関する情報など。

      • 操作対象:ルールの監視範囲を定義します。この範囲は、操作が検知に含まれるデータ資産を指定します。

        パラメーター

        必須

        説明

        検知範囲

        はい

        監視するデータ資産の範囲を定義します。データ管理ポリシーに基づいて、1 つ以上のディメンションを選択して組み合わせることができます。

        • 場所別:特定のデータベースインスタンスやストレージバケットなど、データストレージの物理的または論理的な場所でフィルターします。Hologres を選択した場合、階層はデータベース名 > テーブル名です。MaxCompute を選択した場合、階層はプロジェクト名 > テーブル名です。

        • 分類別:データカテゴリでフィルターします。

        • レベル別:S1、S2、S3 などのデータ感度レベルでフィルターします。

        複数のディメンションを選択すると、それらは AND 演算子で結合されます。これは、選択されたすべてのディメンションを満たす資産のみが監視されることを意味します。

      • 操作ルール定義:これはルール定義のコアであり、どの動作パターンをセキュリティリスクと見なすべきかを正確に記述するために使用されます。

        パラメーター

        必須

        説明

        データ操作

        いいえ

        監視する SQL 操作タイプを定義します。デフォルトでは空で、すべての操作タイプが監視されることを意味します。

        • 行動リスク:オプションの操作には、SelectUpdateInsertDeleteAlterDropTruncate などがあります。

        • 流通リスク:オプションの操作には、TunnelUploadTunnelDownload などがあります。

        操作データ量

        いいえ

        操作のデータ量のしきい値を設定します。有効にしない場合、制限はありません。

        • 単一操作のデータ量:単一の操作で影響を受けるデータ行の数が設定値以上の場合にトリガーされます。

        • 累積時間内のデータ量:指定されたタイムウィンドウ内で操作されたデータ行の累積数が設定値以上の場合にトリガーされます。

        操作頻度

        いいえ

        データ操作の頻度のしきい値を設定します。有効にしない場合、制限はありません。

        • 1 分以内に 5 回の DELETE 操作を実行します。これは、1 分以内にルールが 5 回目にヒットしたときにアラートが生成されることを意味します。

        オペレーター

        いいえ

        このルールが適用されるユーザーまたはユーザーグループを指定します。

        • この項目を有効にする:ルールは選択されたユーザーにのみ適用されます。

        • 有効にしない/空のままにする:ルールはすべてのユーザーに適用されます。これにより多くのリスクイベントが生成される可能性があることに注意してください。

        操作時間

        いいえ

        ルールが有効なタイムウィンドウを定義します。有効にしない場合、ルールは 24 時間 365 日有効です。週と時間 (0-23) で 1 つ以上の期間を柔軟に選択できます。たとえば、勤務時間外 (18:00 から翌日の 09:00 までなど) のみ一括データエクスポートの動作を監視できます。

    3. 操作ボタン

      • すぐに有効化:現在の構成を保存し、チェック項目をすぐに有効化します。システムは、次の検知エポック (T+1) からこのルールに基づいてリスク分析を開始します。

      • 保存のみ:現在の構成を保存しますが、有効化はしません。チェック項目は「無効」状態に設定され、リスク分析には使用されません。後で手動で有効にすることができます。

      • キャンセル:現在のセッションのすべての構成を破棄し、リストページに戻ります。

    リスク検知項目の有効化または無効化

    チェック項目を作成した後、リスクチェック項目タブで有効または無効にすることができます。

    • 有効:DataWorks は、チェック項目のルールに一致するイベントを特定し、それらをリスクイベントとしてマークします。

    • 無効:DataWorks は、以前にマークされたリスクイベントを保持しますが、ルールに一致する新しいイベントは特定しなくなります。

      単一のリスク項目を有効または無効にしたり、複数のリスク項目を選択して 一括有効化または 一括無効化をクリックしたりできます。

    リスクチェック項目の編集または削除

    チェック項目を作成した後、必要に応じてリスクチェック項目タブで編集または削除できます。

    • 編集:リスクチェック項目の情報を再設定します。編集できない ポリシー名を除き、すべての構成情報を再設定できます。

    • 削除:設定されたリスクチェック項目を削除します。チェック項目が削除されると、それに基づいて新しいリスクイベントは生成されません。

      リスクチェック項目を編集または削除するには、[操作] 列で個々の項目の編集または削除をクリックします。複数のリスクチェック項目を選択して一括削除をクリックすることもできます。

    リスクイベントの処理

    リスクイベントの表示

    設定して有効化したリスクチェック項目がトリガーされると、システムは対応するリスクイベントを生成します。リスクイベントタブですべてのイベントの詳細なリストを表示できます。

    フィールド

    説明

    発生時刻

    オペレーターがイベントをトリガーした日時。

    リスクの種類

    イベントがリスク項目として特定された後の、対応するリスクの種類。

    リスク項目

    イベントが特定されたセキュリティリスク。

    オペレーター

    イベントをトリガーしたアカウント。通常はログインアカウントまたはデータソースのデフォルトのアクセス ID です。

    リスクレベル

    リスクの考えられる結果と影響を評価します。

    処理ステータス

    リスクの処理結果をマークします:処理済み未処理

    関連イベント

    操作列の詳細をクリックして、関連イベントを表示します。関連イベントは、一連のイベントの実行順序を記述し、セキュリティ管理者がイベントの実際の影響を評価するのに役立ちます。

    リスクイベントの処理

    セキュリティリスクページで、リスクイベントタブでリスクイベントを表示できます。リスクイベントを処理することもできます。操作列で、すぐに処理をクリックして、リスクイベントの処理ステータスをマークします。

    アラートポリシーの設定

    アラートポリシー機能を使用すると、さまざまなセキュリティリスクイベントに対してカスタムの通知ルールを作成できます。これにより、関連するオーナーがリスク情報を確実に受け取り、迅速に対応できるようになります。

    利用シーン

    日常のデータセキュリティ管理では、リスクイベントを手動で検査するのは非効率であり、対応が遅れる可能性があります。リスクの重大度や種類に基づいて、さまざまなチームにアラートを自動的に配信する必要がある場合があります。

    • シナリオ 1:重大なリスクへのリアルタイム対応

      システムが高リスクレベルのセキュリティイベントを検出した場合、緊急処理のためにショートメッセージと IM ツール (DingTalk など) でセキュリティオーナーに直ちに通知する必要があります。

    • シナリオ 2:特定の動作に焦点を当てる

      データセキュリティチームは、機密データのすべての一括エクスポートを監視し、監査のためにチームメンバー全員に自動的にメール通知を送信したいと考えています。

    • シナリオ 3:機能別にアラートを分類する

      データ行動リスクに関連するアラートはデータガバナンスチームに送信され、データ流通リスクに関連するアラートはアーキテクトチームに送信されます。

    機能

    アラートポリシーのコア機能は、セキュリティリスクに対する自動化された差別化された通知を提供し、適切な情報を適切なタイミングで適切な人に送信することです。

    • カスタムアラートルールセキュリティリスクレベルセキュリティリスクの種類、またはセキュリティリスクイベントに基づいてトリガー条件を柔軟に定義できます。

    • マルチチャネルのリアルタイム配信:メール、ショートメッセージ、DingTalk/Lark/WeCom グループのロボットなど、さまざまな方法でアラートを送信して、情報が見逃されないようにします。

    • 応答効率の向上:プロセスを受動的な「リスクの特定」から能動的な「リスクの識別」に移行させ、リスクの発生から応答および処理までの時間を短縮します。

    設定手順

    1. アラートポリシーページへの移動

      セキュリティリスクページで、アラートポリシータブを選択し、新しいアラートポリシーの作成をクリックします。

    2. 基本情報の入力

      • ポリシー名:ポリシーに名前を入力します。例:「重要イベント SMS アラート」。

      • 戦略の説明 (オプション):ポリシーの目的を簡潔に説明します。

    3. トリガー条件の定義:これはポリシーのコアであり、アラートがいつトリガーされるかを決定します。

      • トリガー条件タイプを選択します:

        • セキュリティリスクレベル:これは最も広範なルールです。高リスク中リスク、または低リスクを選択できます。選択したレベルのすべてのリスクイベントがこのアラートをトリガーします。

        • セキュリティリスクの種類:カテゴリ別にルールを設定します。データ行動リスクまたはデータフローリスクを選択できます。選択したカテゴリのすべてのイベントがアラートをトリガーします。

        • セキュリティリスクイベント:これは最も詳細なルールです。機密データの一括クエリ機密データの頻繁な更新など、1 つ以上の特定のイベントを選択できます。

    4. アラート通知の設定

      • 通知方法をクリックし、ドロップダウンリストから目的の通知チャネル (メール、ショートメッセージ、DingTalk グループのロボットなど) を選択します。

      • 各方法に対応する通知受信者を選択します。

        • メール/ショートメッセージ:1 つ以上の RAM ユーザーまたはロールを選択します。

        • ロボット:対応するグループの Webhook URL を入力します。

      • 同じポリシーに複数の通知方法を追加できます。

    5. 保存と管理

      • [新規ポリシー] をクリックしてポリシーを保存します。

      • ポリシーが保存されると、リストに表示されます。いつでも表示変更、または削除できます。