コールセンターのエージェントが顧客の電話番号をクエリすると、完全な番号の代わりに ***-***-1234 が表示される必要があります。開発者がトラブルシューティングのために本番データをクエリする場合、実際の個人を特定できる情報 (PII) ではなく、マスクされた値を使用する必要があります。Database Management (DMS) では、機密フィールドにデータマスキングアルゴリズムを設定します。これにより、DMS を介してフィールドがクエリまたはエクスポートされるたびに、DMS はこれらのアルゴリズムを自動的に適用します。
このトピックでは、データマスキングアルゴリズムを作成し、それを機密フィールドに適用する方法について説明します。
前提条件
開始する前に、以下を確認してください。
ご利用のシステムロールが 管理者、データベース管理者 (DBA)、または セキュリティ管理者 であること。ロールを確認するには、「システムロールの表示」をご参照ください。
ご利用のインスタンスで機密データ保護機能が有効になっており、機密データスキャンタスクが作成されていること。詳細については、「機密データ保護機能の有効化」をご参照ください。
注意事項
DMS は、次の場合にマスキングアルゴリズムを適用します。
SQL コンソール でデータをクエリする
データベースエクスポートチケットを送信する
セキュアアクセスプロキシ機能のプロキシエンドポイントを介してインスタンスにアクセスする
説明DMS 以外のツールでデータをクエリする場合、マスキングは適用されません。
セキュリティホスティング が有効になっているインスタンスでは、フィールドに部分マスキングルールを設定した場合、部分的にマスクされたデータを表示するには、ユーザーに部分マスキング権限が必要です。これらの権限がない場合、フィールドは完全にマスクされた状態で表示されます。部分マスキング権限を付与するには、「権限の管理」をご参照ください。
データマスキングアルゴリズムを作成しても、自動的にどのフィールドにも適用されるわけではありません。アルゴリズムを作成した後、対象となる各機密フィールドのアルゴリズム割り当てを変更してください。
アルゴリズムの選択
フィールドの機密レベルに基づいてアルゴリズムを選択します。
| 機密性レベル | 推奨事項 |
|---|---|
| 低 (S1) | マスキングは不要 - プレーンテキストで表示 |
| 中 (S2) | 部分マスキングアルゴリズム |
| 高 (S3) | 完全マスキングアルゴリズム |
DMS は、次のアルゴリズムタイプを提供します。
ハッシュ
フィールド値を固定長のダイジェストに変換します。ハッシュ化された値は元に戻せません。
| アルゴリズム | 出力 |
|---|---|
| MD5 | 128 ビット (16 バイト) のハッシュ |
| SHA1 | 160 ビット (20 バイト) のハッシュ |
| SHA256 | 256 ビットのハッシュ |
| HMAC | キーで認証されたハッシュ |
カバーアップ
フィールド値の一部または全部を、固定のカバー文字列に置き換えます。
| アルゴリズム | 仕組み | 例 |
|---|---|---|
| 完全カバー | 値全体をマスクします | 電話番号 1381111**** をカバー文字列 *********** でマスク → *********** |
| 固定位置カバー | 固定の文字範囲をマスクします | IP 192.168.255.254、位置 (5,7) → 192.***.255.254 |
| 固定文字マスク | 特定の部分文字列をマスクします | メール username@example.com、マスク対象 example → username@*******.com |
置換
フィールド値の一部を別の値に置き換えます。
| アルゴリズム | 仕組み | 例 |
|---|---|---|
| マップ置換 | 特定の文字列を、マップされた代替文字列に置き換えます。複数のソース文字列はカンマ (,) で区切ります。ソース文字列の数と置換文字列の数は同じでなければなりません。 | 文字列 abcd、ab を mn に置換 → mncd |
| ランダム置換 | 文字範囲を、指定されたセットからランダムに選んだ文字で置き換えます。2 つ以上の文字を指定した場合、実行ごとに結果が異なります。 | メール username@example.com、位置 (1,8)、ランダム文字 abc → acbbbbac@example.com |
変換
数値または日付の値を調整して精度を下げます。
| アルゴリズム | 仕組み | 例 |
|---|---|---|
| 数値の丸め | 指定された先頭の桁数に切り捨てます | 1234.12、2 桁を保持 → 1230 |
| データ丸め | 日時を指定された単位に切り捨てます | 2021-10-14 15:15:30、時間に丸める → 2021-10-14 15:00:00 |
| 文字の変位 | 文字を左に循環シフトします | 345678、2 文字シフト → 567834 |
暗号化
共通鍵暗号を使用してフィールド値を暗号化します。結果は暗号文として保存されます。
| アルゴリズム | キー長 | 出力長 |
|---|---|---|
| DES | 8 文字 | 16 文字 |
| AES | 16 文字 | 32 文字 |
| AES 暗号化強化 | 制限なし | 32 文字 |
復号
DMS によって以前に暗号化された暗号文を復号します。
| アルゴリズム | 復号化 |
|---|---|
| AES 復号 | AES で暗号化されたデータ |
| AES 復号-拡張 | AES 暗号化-拡張で暗号化されたデータ |
プレーンテキスト
マスキングせずにフィールド値を表示します。明示的にアルゴリズムを設定する必要がある、機密レベルが低い (S1) フィールドに使用します。
データマスキングアルゴリズムの作成
DMS コンソール V5.0 にログインします。
左上隅の
アイコンにポインターを移動し、すべての機能 > セキュリティと仕様 (DBS) > 機微データ > ルール設定 を選択します。説明通常モードでは、上部のナビゲーションバーから [Security and Specifications (DBS)] > [機密データ] > [ルール設定] を選択します。
-
左上隅にある
アイコンにポインターを移動させ、 を選択します。説明DMS コンソールを通常モードで使用する場合、上部ナビゲーションバーで を選択します。
[データマスキングアルゴリズム] タブをクリックし、次に [データマスキングアルゴリズムの追加] をクリックします。
「[新規アルゴリズム]」パネルで、アルゴリズムの種類を選択し、そのパラメーターを設定します。
保存する前にアルゴリズムをテストします。例:元の値
345678、[変換] > [文字シフト] を選択し、シフト2→ 期待される結果567834。テストフィールドにサンプルの元の値を入力します。
[テスト] をクリックします。
マスクされた出力が期待どおりであることを確認します。
「[送信]」をクリックします。
説明デフォルトでは、DMS は組み込みの DEFAULT ルールを機密データに適用します。カスタムアルゴリズムを特定のフィールドに適用するには、次の手順を完了してください。詳細については、「機密データの管理」もご参照ください。
機密フィールドへのアルゴリズムの適用
アルゴリズムを作成した後、それを適用したい機密フィールドに割り当てます。
DMS コンソール V5.0 にログインします。
左上隅の
アイコンにポインターを合わせ、[すべての機能] > [セキュリティと仕様 (DBS)] > [機密データ] > [機密データ資産] を選択します。説明通常モードでは、上部ナビゲーションバーから [セキュリティと仕様 (DBS)] > [機密データ] > [機密データ資産] を選択します。
-
左上隅の
アイコンにポインターを合わせ、 を選択します。説明DMS コンソールを通常モードで使用する場合、上部ナビゲーションバーで を選択します。
「インスタンス一覧」セクションで、自分のインスタンスを見つけ、「操作」列の「機密データ一覧」をクリックします。
[フィールドコントロール] タブで、更新するフィールドを選択します。
左上隅の[データマスキングアルゴリズムの調整]をクリックします。
「[データマスキングアルゴリズムの選択が必要です]」ダイアログボックスで、「[デフォルトの非表示化アルゴリズム]」または「[半非表示化アルゴリズム]」を選択し、アルゴリズムを指定してから、「[保存]」をクリックします。
説明フィールドを DEFAULT アルゴリズムにリセットするには、そのフィールドの [データマスキングアルゴリズムのリセット] を [操作] 列でクリックします。
よくある質問
同じフィールドにデフォルトのマスキングアルゴリズムと部分マスキングアルゴリズムの両方が設定されている場合、DMS はどちらのアルゴリズムを使用しますか?
DMS は部分マスキングアルゴリズムを使用します。データを表示するユーザーが、部分的にマスクされた、またはプレーンテキストの機密フィールドにアクセスする権限を持っていない場合、DMS はデフォルトのマスキングアルゴリズムにフォールバックします。
部分マスキングアルゴリズムと完全マスキングアルゴリズムはどのように選択すればよいですか?
フィールドの機密レベルに合わせてアルゴリズムを選択します。機密レベルが低いフィールド (S1) の場合、マスキングは不要です。プレーンテキストで表示します。メールアドレスや電話番号など、機密レベルが中程度のフィールド (S2) の場合は、部分マスキングアルゴリズムを使用して、ユーザーが完全な値を見ることなく、おおよそのパターンを認識できるようにします。パスワードや金融データなど、機密レベルが高いフィールド (S3) の場合は、完全マスキングアルゴリズムを使用して、値全体が隠されるようにします。