Data Management (DMS) では、[データエクスポート] タブでセキュリティルールを管理し、データエクスポート申請者がデータエクスポート操作に関連するデータベース、テーブル、機密フィールド、および行に対する権限を、申請者がデータエクスポートチケットを提出した後に検証できます。 これにより、データセキュリティを確保できます。
前提条件
お客様の システムロール は、[DMS 管理者]、[データベース管理者 (DBA)]、または [セキュリティ管理者] です。
注意事項
制御モード がセキュリティコラボレーションに設定されているインスタンスに対してのみ、承認プロセスを設定できます。
インスタンスごとに設定できるセキュリティルールは 1 つだけです。 インスタンス上の異なるデータベースに対して個別の承認プロセスと承認者を設定することはできません。
基本設定項目
承認ルール検証チェックポイントで、さまざまなリスクレベルのデータエクスポートチケットの承認プロセスを設定できます。 承認プロセスを設定しない場合は、デフォルトの承認テンプレートが使用されます。 [承認テンプレートの切り替え] をクリックすると、デフォルトの承認テンプレートの承認プロセスを変更できます。
チェックポイント
承認ルール検証: セキュリティルールを設定することで、データエクスポートチケットをさまざまな承認プロセスに提出できます。 たとえば、特定の行数を超えるデータをエクスポートするためのチケットは 1 つの承認プロセスに提出され、その他のチケットは別の承認プロセスに提出されます。 [基本設定項目] の [データエクスポートのデフォルト承認テンプレート] を使用することもできます。 詳細については、「ルールの作成」をご参照ください。
事前チェック検証: カスタムセキュリティルールを設定して、関連するデータベース、テーブル、機密フィールド、および行に対する申請者の権限を検証するかどうかを指定できます。 [基本設定項目] の [データエクスポートのデフォルト承認テンプレート] を使用することもできます。 詳細については、「ルールの作成」をご参照ください。
ファクターとアクション
ファクター
ファクターは、DMS の事前定義された変数です。 ファクターを使用して、セキュリティルールによって検証されるコンテキストを取得できます。 コンテキストには、SQL 文カテゴリと影響を受ける行数が含まれます。 ファクター名は、プレフィックス
@fac.とファクターの表示名で構成されます。 [セキュリティルール] タブの各モジュールは、チェックポイントごとに異なるファクターを提供します。 次の表では、[データエクスポート] のチェックポイントに提供されるファクターについて説明します。@fac.env_type
環境のタイプ。 値は、
DEVやPRODUCTなどの環境タイプの表示名です。 その他の環境タイプの詳細については、「環境タイプ」をご参照ください。@fac.is_ignore_export_rows_check
[影響を受ける行数のチェックをスキップする] かどうかを示すブール値。
@fac.export_rows
エクスポートされる行数。
@fac.include_sec_columns
エクスポートされるデータに機密フィールドが含まれているかどうかを示すブール値。
@fac.sec_columns_list
エクスポートされるデータに含まれる機密フィールド。 フィールドは
テーブル名.フィールド名, [テーブル名.フィールド名, ...]の形式でリストされます。@fac.user_is_admin
申請者が DMS 管理者かどうかを示すブール値。
@fac.user_is_dba
申請者が DBA かどうかを示すブール値。
@fac.user_is_inst_dba
申請者が現在のインスタンスの DBA かどうかを示すブール値。
@fac.user_is_sec_admin
申請者がセキュリティ管理者かどうかを示すブール値。
アクション
セキュリティルールのアクションは、ルールの
IF条件が満たされたときに DMS が実行する操作です。 たとえば、DMS はチケットの提出を禁止したり、承認プロセスを選択したり、チケットを承認または拒否したりできます。 セキュリティルールのアクションは、セキュリティルールの目的を示しています。 アクション名は、プレフィックス@act.とアクションの表示名で構成されます。 [セキュリティルール] タブの各モジュールは、チェックポイントごとに異なるアクションを提供します。 次の表では、[データエクスポート] のチェックポイントに提供されるアクションについて説明します。@act.do_not_approve
承認なしでチケットを処理できるようにします。
@act.choose_approve_template
承認テンプレートを指定します。
@act.choose_approve_template_with_reason
承認テンプレートを指定し、理由を提示します。
@act.forbid_submit_order
チケットの提出を禁止します。
@act.enable_check_permission
関連するデータベースとテーブルに対する申請者の権限を検証します。
@act.disable_check_permission
関連するデータベースとテーブルに対する申請者の権限を検証しません。
@act.enable_check_sec_column
関連する機密フィールドに対する申請者の権限を検証します。
@act.disable_check_sec_column
関連する機密フィールドに対する申請者の権限を検証しません。
デフォルトの承認テンプレートの変更
- DMS コンソール V5.0 にログオンします。
左上隅の
アイコンにポインターを移動し、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
管理するルールセットを見つけ、[アクション] 列の [編集] をクリックします。アクション
[詳細] ページの左側のナビゲーションウィンドウで、[データエクスポート] をクリックします。
チェックポイントで [基本設定項目] を選択します。
[データエクスポートのデフォルト承認テンプレート] ルールを見つけ、[アクション] 列の [編集] をクリックします。アクション
[設定項目の変更] ダイアログボックスで、[承認テンプレートの切り替え] をクリックします。
対象の [テンプレート] を見つけ、[選択] 列の [アクション] をクリックします。
説明[承認不要にリセット] をクリックして、チケットの承認をスキップすることもできます。
[送信] をクリックします。
ルールの作成
- DMS コンソール V5.0 にログオンします。
左上隅の
アイコンにポインターを移動し、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
対象のセキュリティルール セットを見つけ、[編集] を [アクション] 列でクリックします。
[詳細] ページの左側のナビゲーションウィンドウで、[データエクスポート] をクリックします。
チェックポイントで [基本設定項目] を選択します。
[ルールの作成] をクリックします。
[ルールの作成 - データエクスポート] ダイアログボックスで、次のパラメーターを設定します。
設定項目
必須
説明
[チェックポイント]
はい
セキュリティルールを作成するチェックポイント。 データエクスポートでは、次の 2 つのチェックポイントが提供されます。
事前チェック検証
承認ルール検証
[テンプレートデータベース]
はい
セキュリティルールの作成に使用するテンプレート。 DMS は多数のセキュリティルールテンプレートを提供しています。 [チェックポイント] を選択した後、[テンプレートデータベースからロード] をクリックして、テンプレートを選択します。 テンプレートデータベースは、次のテンプレートを提供します。
事前チェック検証: データベーステーブル権限検証の制御、機密カラム権限検証の制御、行権限検証の制御。
承認ルール検証: 承認なし、デフォルトの承認定義、機密性の高いフィールドのエクスポートを含む承認プロセスの設定。
[ルール名]
はい
カスタムセキュリティルール名。
説明[テンプレートデータベース] からルールテンプレートをロードすると、ルール名が自動的に入力されます。
[ルール DSL]
はい
セキュリティルールの DSL 文。 DSL 構文の詳細については、「セキュリティルールの DSL 構文」をご参照ください。
DSL 文を記述するときは、右側に表示されているファクター、アクション、関数、および演算子を使用できます。
ルールテンプレートをロードする場合は、テンプレートに含まれる事前定義された DSL 文を変更できます。
[送信] をクリックします。
説明新しいルールはデフォルトで [無効] になっています。 現在のページで、対応するチェックポイントを選択し、新しいルールを見つけ、[アクション] 列の [有効化] をクリックし、[OK] をクリックします。 これにより、新しいルールが有効になります。