すべてのプロダクト
Search

このプロダクト

    Data Management:データマスキングアルゴリズムの管理

    ドキュメントセンター

    Data Management:データマスキングアルゴリズムの管理

    最終更新日:Feb 20, 2025

    機密データの漏洩を防ぐために、Database Management (DMS) で機密フィールドのデータマスキングアルゴリズムを構成できます。機密フィールドのデータマスキングアルゴリズムを構成すると、DMS でフィールド値をクエリまたはエクスポートする際に、DMS はデータマスキングアルゴリズムに基づいてフィールド値をマスキングします。このトピックでは、機密フィールドのデータマスキングアルゴリズムを作成、表示、および変更する方法について説明します。

    前提条件

    • システムロールが管理者、データベース管理者 (DBA)、またはセキュリティ管理者であること。システムロールの表示方法の詳細については、「システムロールの表示」をご参照ください。

    • インスタンスで機密データ保護機能が有効になっており、機密データスキャンテストが作成されていること。詳細については、「機密データ保護機能を有効にする」をご参照ください。

    使用上の注意

    • DMS アルゴリズムは、SQL コンソールでデータをクエリする場合、データベースエクスポートチケットを送信する場合、または DMS のセキュアアクセ sproxy 機能によって生成されたプロキシエンドポイントを使用してデータベースインスタンスにアクセスする場合に有効になります。

      説明

      他のツールを使用してデータをクエリする場合、データマスキングアルゴリズムは有効になりません。

    • セキュリティホスティング機能が有効になっているインスタンスでは、フィールドに部分マスキングルールを構成した後、構成したデータマスキングルールに基づいてマスキングされたデータを表示するには、部分マスキング権限を申請する必要があります。それ以外の場合、完全にマスキングされたデータのみを表示できます。部分マスキング権限の申請方法の詳細については、「権限の管理」をご参照ください。

    • データマスキングアルゴリズムを作成した後、機密フィールドのデータマスキングアルゴリズムを新しいデータマスキングアルゴリズムに変更する必要があります。これにより、データマスキングアルゴリズムが有効になります。

    データマスキングアルゴリズムの作成

    1. DMS コンソール V5.0 にログインします。

    2. 左上隅の 2023-01-28_15-57-17.png アイコンにポインターを移動し、[すべての機能] > [セキュリティと仕様 (DBS)] > [機密データ] > [ルールの構成] を選択します。

      説明

      DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで [セキュリティと仕様 (DBS)] > [機密データ] > [ルールの構成] を選択します。

    3. [ルールの構成] ページで、[データマスキングアルゴリズム] タブをクリックします。このタブで、[データマスキングアルゴリズムの追加] をクリックします。

    4. [新しいアルゴリズム] パネルで、データマスキングアルゴリズムを構成します。

      アルゴリズムタイプ

      アルゴリズム名

      説明

      ハッシュ

      MD5

      128 ビット (16 バイト) のハッシュ値を生成します。MD5 は、広く使用されている暗号学的ハッシュ関数です。

      SHA1

      メッセージダイジェストと呼ばれる 160 ビット (20 バイト) のハッシュ値を生成します。SHA1 は暗号学的ハッシュ関数です。

      SHA256

      256 ビットのハッシュ値を生成します。

      HMAC

      ハッシュ関数とキーを使用してメッセージを認証します。

      隠蔽

      完全隠蔽

      フィールドの値全体をマスキングします。

      たとえば、電話番号 1381111**** を完全にマスキングする場合、[隠蔽文字列] パラメーターを *********** に設定します。その場合、データマスキング結果は *********** になります。

      固定位置隠蔽

      フィールドの固定位置にある文字列をマスキングします。

      たとえば、IP アドレス 192.168.255.254 の 2 番目のセグメントをマスキングする場合、[隠蔽文字列] パラメーターを *** に、[マスク位置の構成] パラメーターを (5,7) に設定します。その場合、データマスキング結果は 192.***.255.254 になります。

      固定文字マスク

      フィールドの指定された文字をマスキングします。

      たとえば、メールアドレス username@example.com の example をマスキングする場合、[隠蔽文字列] パラメーターを ******* に、[隠蔽する文字列] パラメーターを example に設定します。その場合、データマスキング結果は username@*******.com になります。

      置換

      マップ置換

      指定された文字列を別の文字列に置き換えます。

      説明

      • 複数の文字列はコンマ (,) で区切ります。

      • 置換される文字列の数は、置換に使用される文字列の数と同じである必要があります。

      たとえば、文字列 abcd の ab を mn に置き換える場合、[一致文字列] パラメーターを ab に、[置換文字列] パラメーターを mn に設定します。その場合、データマスキング結果は mncd になります。

      ランダム置換

      フィールドの指定された部分を、指定したランダムな文字に置き換えます。

      たとえば、メールアドレス username@example.com の username をランダムな文字に置き換える場合、[置換位置] パラメーターを (1,8) に、[ランダム文字] パラメーターを abc に設定します。その場合、データマスキング結果は acbbbbac@example.com のようになります。

      説明

      複数のランダム文字を指定した場合、データマスキング結果はランダムになります。

      変換

      数値の丸め

      小数点より前の指定された桁に数値を切り捨てます。

      たとえば、生データが 1234.12 で、[最初の小数点以下の桁数を維持] パラメーターを 2 に設定した場合、データマスキング結果は 1230 になります。

      データの丸め

      日付と時刻を丸めます。

      たとえば、生データが 2021-10-14 15:15:30 で、[日付の丸めレベル] パラメーターを hour に設定した場合、データマスキング結果は 2021-10-14 15:00:00 になります。

      文字の置換

      フィールドの文字をループ方式で左に移動します。

      たとえば、生データが 345678 で、[文字列の左シフト数] パラメーターを 2 に設定した場合、データマスキング結果は 567834 になります。

      暗号化

      DES

      データ暗号化規格 (DES) アルゴリズムを使用してデータを暗号化します。キーの長さは 8 文字で、データマスキング結果は 16 文字になります。

      AES

      高度暗号化標準 (AES) アルゴリズムを使用してデータを暗号化します。これは、DES アルゴリズムよりも高度な暗号化アルゴリズムです。キーの長さは 16 文字で、データマスキング結果は 32 文字になります。

      AES 暗号化 - 拡張

      キーの長さを制限しない AES アルゴリズムを使用します。データマスキング結果は 32 文字になります。

      復号

      AES 復号

      AES アルゴリズムを使用して暗号化されたデータを復号します。

      AES 復号 - 拡張

      AES 暗号化 - 拡張アルゴリズムを使用して暗号化されたデータを復号します。

      プレーンテキスト

      該当なし

      該当なし

    5. データマスキング結果をテストします。

      1. マスキングする生データを入力します。

      2. [テスト] をクリックします。

      3. データが想定どおりにマスキングされているかどうかを確認します。

      たとえば、生データが 345678 で、[アルゴリズムタイプ] パラメーターを [変換] に、[レベル 2] パラメーターを [文字の置換] に、[文字列の左シフト数] パラメーターを 2 に設定した場合、マスキング結果は 567834 になります。データが想定どおりにマスキングされているかどうかを確認します。2敏感数据保护-脱敏规则

    6. [送信] をクリックします。

      説明

      デフォルトでは、組み込みルール DEFAULT が機密データに適用されます。機密データにカスタムデータマスキングルールを適用する方法の詳細については、「機密データを管理する」をご参照ください。

    7. 1 つ以上のフィールドのデータマスキングアルゴリズムを表示および変更します。

      データマスキングアルゴリズムを作成した後、[機密データ資産] ページで、機密フィールドのデータマスキングアルゴリズムを新しいデータマスキングアルゴリズムに変更する必要があります。これにより、データマスキングアルゴリズムが有効になります。

    1 つ以上のフィールドのデータマスキングアルゴリズムを表示および変更する

    1. DMS コンソール V5.0 にログインします。

    2. 左上隅の 2023-01-28_15-57-17.png アイコンにポインターを移動し、[すべての機能] > [セキュリティと仕様 (DBS)] > [機密データ] > [機密データ資産] を選択します。

      説明

      DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで [セキュリティと仕様 (DBS)] > [機密データ] > [機密データ資産] を選択します。

    3. [インスタンスリスト] セクションで、管理するインスタンスを見つけ、[操作] 列の [機密データリスト] をクリックします。

    4. [フィールドコントロール] タブで、データマスキングアルゴリズムを変更するフィールドを選択します。

    5. 左上隅の [データマスキングアルゴリズムの調整] をクリックします。

    6. [データマスキングアルゴリズムを選択する必要があります] ダイアログボックスで、[デフォルトの非識別化アルゴリズム] または [準非識別化アルゴリズム] を選択し、アルゴリズムを指定して、[保存] をクリックします。

      説明

      フィールドに関連付けられているカスタムデータマスキングアルゴリズムを DEFAULT にリセットする場合は、[操作] 列の [データマスキングアルゴリズムのリセット] をクリックします。

    FAQ

    • Q: 機密フィールドにデフォルトのマスキングアルゴリズムと部分マスキングアルゴリズムの両方が構成されている場合、DMS はどのアルゴリズムを使用してデータを処理しますか?

      A: DMS は、部分マスキングアルゴリズムを使用してデータを処理します。ただし、データを表示するユーザーに、部分的にマスキングされた機密フィールドまたはプレーンテキストの機密フィールドにアクセスする権限がない場合、DMS はデフォルトのマスキングアルゴリズムを使用してデータを処理します。

    • Q: 機密フィールドのセキュリティレベルに基づいてデータマスキングアルゴリズムを選択するにはどうすればよいですか?

      A: 機密フィールドのセキュリティレベルに基づいてデータマスキングアルゴリズムを選択できます。

      • 低機密性 (S1): フィールドはプレーンテキストで表示でき、データマスキングアルゴリズムを構成する必要はありません。

      • 中機密性 (S2): 部分マスキングアルゴリズムを選択できます。

      • 高機密性 (S3): フィールドは機密情報であり、完全マスキングアルゴリズムを選択できます。