すべてのプロダクト
Search
ドキュメントセンター

Data Management:データマスキングアルゴリズムの管理

最終更新日:Jun 21, 2026

機密データの漏洩を防ぐため、Data Management Service (DMS) では特定のフィールドにデータマスキングアルゴリズムを設定できます。これらのフィールドからデータをクエリまたはエクスポートすると、DMS は設定したデータマスキングルールに基づいて値を自動的にマスキングします。このトピックでは、機密データ用のデータマスキングアルゴリズムを追加、表示、変更する方法について説明します。

前提条件

  • 管理者、DBA、またはセキュリティ管理者のいずれかのシステムロールが必要です。詳細については、「View my system roles」をご参照ください。

  • インスタンスに対して機密データ保護機能が有効になっており、機密データスキャンタスクが設定されていること。詳細については、「機密データ保護の有効化」をご参照ください。

注意事項

  • DMS のデータマスキングアルゴリズムは、SQL ウィンドウでデータをクエリする場合、データベースエクスポートチケットを送信する場合、またはセキュアアクセスプロキシ機能によって生成されたプロキシエンドポイントを使用してデータベースインスタンスにアクセスする場合に有効になります。

    説明

    他のツールを使用してデータをクエリする場合、データマスキングアルゴリズムは有効になりません。

  • セキュリティホスティング対象のインスタンスの場合、フィールドに部分マスキングアルゴリズムを設定した場合は、部分的にマスクされたデータを表示するために部分マスキングの権限を取得する必要があります。これらの権限がない場合、データは完全にマスキングされます。権限をリクエストする方法の詳細については、「アクセス制御権限の管理」をご参照ください。

  • 新しいデータマスキングアルゴリズムを追加した後、そのアルゴリズムを有効にするには、対象の機密フィールドに適用する必要があります。

データマスキングアルゴリズムの追加

  1. Data Management Service (DMS) 5.0 にログインします。

  2. 左上隅にある 2023-01-28_15-57-17.png アイコンにポインターを移動し、[すべての機能] > [セキュリティと仕様 ( DBS )] > [機密データ] > [ルール設定] を選択します。

    説明

    DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで [セキュリティと仕様 ( DBS )] > [機密データ] > [ルール設定] を選択します。

  3. [Data Masking Algorithm] タブをクリックし、[Add Data Masking Algorithm] をクリックします。

  4. [New Algorithm] パネルで、データマスキングアルゴリズムを選択して設定します。

    タイプ

    名前

    説明

    ハッシュ

    MD5

    128 ビット (16 バイト) のハッシュ値を生成する、広く採用されている暗号学的ハッシュ関数です。

    SHA1

    メッセージダイジェストとして知られる 160 ビット (20 バイト) のハッシュ値を生成する暗号学的ハッシュ関数です。

    SHA256

    256 ビットのハッシュ値を生成します。

    HMAC

    ハッシュ関数と秘密鍵を使用してメッセージを認証します。

    マスキング

    完全マスキング

    データ値全体をマスキングします。

    たとえば、電話番号13811112222を完全にマスキングするには、マスキング文字列を *********** に設定します。マスキングされた結果は *********** です。

    固定位置マスキング

    位置に基づいてデータ値の特定の部分をマスキングします。

    例えば、IP アドレス 192.168.255.254 の 2 番目のセグメントをマスキングするには、マスキング文字列を* に設定し、位置範囲を (5,7) として指定します。マスキング結果は 192.*.255.254 になります。

    固定文字マスキング

    データ値内の特定の文字または文字列をマスキングします。

    たとえば、メールアドレス username@example.com 内の example をマスキングするには、マスキング文字列を ******* に設定し、マスキングする文字列として example を指定します。結果は username@*******.com です。

    置き換え

    マップ置換

    対象の文字列を置換文字列で置き換えます。

    説明
    • 複数の文字列を区切るには、コンマ (,) を使用します。

    • 対象文字列の数と置換文字列の数は一致している必要があります。

    たとえば、文字列abcd内のabmnで置き換えるには、対象文字列をabに、置換文字列をmnに設定します。マスキングされた結果はmncdです。

    ランダム置換

    指定した位置の文字をランダムな文字で置き換えます。

    たとえば、username@example.com 内の username をランダムに置換するには、置換位置を (1,8) に設定し、ランダム文字を abc に設定します。結果の例は acbbbbac@example.com です。

    説明

    ランダムな文字を 2 つ以上指定した場合、マスキング結果は非決定的になります。

    変換

    数値丸め

    数値を小数点の前の指定した桁に切り捨てます。

    たとえば、元の値が 1234.12 の場合、小数点の前の 2 桁目に丸めると、結果は1230になります。

    日付丸め

    日付と時刻を指定した精度に丸めます。

    たとえば、元の値が 2021-10-14 15:15:30 の場合、最も近い時間に丸めると、結果は 2021-10-14 15:00:00 になります。

    文字シフト

    文字列の文字に対して循環左シフトを実行します。

    たとえば、元の値が345678の場合、2 ポジション左にシフトすると、結果は567834になります。

    暗号化

    DES

    データ暗号化標準 (DES) アルゴリズムを使用してデータを暗号化します。キーの長さは 8 文字で、結果は 16 文字です。

    AES

    DES よりも安全な Advanced Encryption Standard (AES) アルゴリズムを使用してデータを暗号化します。キーの長さは 16 文字で、結果は 32 文字です。

    AES 拡張暗号化

    キー長に制限なく AES アルゴリズムを使用してデータを暗号化します。結果は 32 文字です。

    復号

    AES 復号

    AES アルゴリズムで暗号化されたデータを復号します。

    AES 拡張復号

    AES 拡張暗号化アルゴリズムで暗号化されたデータを復号します。

    プレーンテキスト

    N/A

    N/A

  5. アルゴリズムをテストします。

    1. 元のデータを入力します。

    2. [Test] をクリックします。

    3. 結果を確認します。

    たとえば、文字シフト変換の場合、左シフトを 2 に、元のデータを345678に設定すると、結果は567834になります。

  6. [Submit] をクリックします。

    説明

    デフォルトでは、機密データは組み込みのDEFAULTデータマスキングルールを使用してマスキングされます。新しいデータマスキングアルゴリズムを適用するには、「機密データの管理」をご参照ください。

  7. フィールドのデータマスキングアルゴリズムを表示および変更します

    データマスキングアルゴリズムを追加した後、[Sensitive Data Assets] ページに移動し、新しいアルゴリズムを対象のフィールドに適用して有効化する必要があります。

フィールドのアルゴリズムの表示と変更

  1. Data Management Service (DMS) 5.0 にログインします。

  2. 左上隅にある 2023-01-28_15-57-17.png アイコンにポインターを移動し、[すべての機能] > [セキュリティと仕様 ( DBS )] > [機密データ] > [機密データ資産] を選択します。

    説明

    DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで [セキュリティと仕様 ( DBS )] > [機密データ] > [機密データ資産] を選択します。

  3. [Instance List] セクションで、対象のインスタンスを見つけ、[Operation] 列の [Sensitive Data List] をクリックします。

  4. [Field Control] タブで、アルゴリズムを変更したい各フィールドのチェックボックスを選択します。

  5. 左上隅の [Adjust Data Masking Algorithm] をクリックします。

  6. [Select Data Masking Algorithm] ダイアログボックスで、[default masking algorithm] または [partial masking algorithm] を選択し、アルゴリズムを指定してから [Save] をクリックします。

    説明

    フィールドのカスタムデータマスキングアルゴリズムをシステムデフォルト (DEFAULT) にリセットするには、リストでフィールドを見つけ、[Operation] 列の [Reset Data Masking Algorithm] をクリックします。

よくある質問

  • Q:機密フィールドにデフォルトのマスキングアルゴリズムと部分マスキングアルゴリズムの両方が設定されている場合、DMS はどちらを使用しますか?

    A:DMS は部分マスキングアルゴリズムを使用します。ただし、データを表示するユーザーが、部分的にマスクされたデータやプレーンテキストデータを表示するための権限を持っていない場合、DMS はデフォルトのデータマスキングアルゴリズムにフォールバックします。

  • Q:フィールドのセキュリティレベルに基づいてデータマスキングアルゴリズムを選択するにはどうすればよいですか?

    A:ビジネス要件に合わせてアルゴリズムを選択できます:

    • S1 (低秘密度):データはプレーンテキストで表示できます。データマスキングアルゴリズムは不要です。

    • S2 (中秘密度):部分マスキングアルゴリズムが適しています。

    • S3 (高秘密度):データは機密です。完全マスキングアルゴリズムを推奨します。