データエクスポートのセキュリティルールは、データエクスポート チケットに対するデータベースとテーブルの権限、機密列の権限、および行の権限を検証し、データセキュリティを確保します。
前提条件
システムロールは[管理者]、[DBA]、または[セキュリティ管理者]です。
使用上の注意
-
承認プロセスは、セキュリティコラボレーション インスタンスにのみ設定できます。
-
各インスタンスでサポートされるセキュリティルールは 1 つだけです。同じインスタンス内の異なるデータベースに、個別の承認プロセスや承認者を設定することはできません。
基本設定
承認ルール検証で特定のリスクレベルに対応する承認プロセスが定義されていない場合、システムはデフォルトの承認テンプレートを使用します。テンプレートを切り替えることで、デフォルトの承認プロセスを変更 できます。
チェックポイント
-
承認ルールの検証: セキュリティルールをカスタマイズすることで、特定の行数を超えるデータエクスポートに 1 つの承認プロセスを使用し、その他のケースには別のプロセスを使用するなど、複雑なデータエクスポート承認プロセスを実装できます。また、[基本設定項目] にある [デフォルトのデータエクスポート承認テンプレート] を直接使用することもできます。詳細については、「ルールの作成」をご参照ください。
-
事前チェック検証: セキュリティルールをカスタマイズして、データベースとテーブルの権限、および機密列の権限をチェックできます。 または、[基本設定項目] の [データエクスポートのデフォルト承認テンプレート] を使用できます。 詳細については、「ルールの作成」をご参照ください。
ファクターとアクション
-
ファクター
ファクターは、SQL タイプや影響を受ける行数など、セキュリティルールにコンテキストを提供する組み込み変数です。すべてのファクターは
@fac.で始まり、その後にファクター名が続きます。各モジュールのチェックポイントごとに、提供されるファクターは異なります。次の表に、[データエクスポート]で利用可能なファクターを示します。@fac.env_type
環境タイプ。値は、
DEVやPRODUCTなどの環境識別子です。環境タイプの詳細については、「インスタンスの環境タイプ」をご参照ください。@fac.is_ignore_export_rows_check
データエクスポートで [Ignore validation of affected rows] が選択されているかどうかを示します。
@fac.export_rows
データエクスポートで影響を受ける行数です。
@fac.include_sec_columns
データエクスポートに機密列が含まれるかどうかを示します。
@fac.sec_columns_list
データエクスポートに含まれる機密列。形式は
table_name.column_name,[table_name.column_name, ...]です。@fac.user_is_admin
申請者が管理者であるかどうかを示します。
@fac.user_is_dba
申請者が DBA であるかどうかを示します。
@fac.user_is_inst_dba
申請者がインスタンスの DBA であるかどうかを示します。
@fac.user_is_sec_admin
申請者がセキュリティ管理者であるかどうかを示します。
-
アクション
アクションは、ルールの
if条件が満たされたときにシステムが実行する内容を指定します。例えば、チケットの送信の禁止、ワークフローの選択、実行の許可、実行の拒否などがあります。アクションは、セキュリティルールの主目的を表します。すべてのアクションは@act.で始まり、その後にアクション名が続きます。各モジュールのチェックポイントごとに、提供されるアクションは異なります。次の表に、[データエクスポート]で利用可能なアクションを示します。@act.do_not_approve
承認プロセスを承認不要に設定します。
@act.choose_approve_template
特定の承認テンプレートを選択して、承認プロセスを設定します。
@act.choose_approve_template_with_reason
特定の承認テンプレートを選択し、理由を提示して、承認プロセスを設定します。
@act.forbid_submit_order
チケットの送信を禁止します。
@act.enable_check_permission
チケット申請者のデータベースとテーブルの権限を検証します。
@act.disable_check_permission
チケット申請者のデータベースとテーブルの権限の検証をスキップします。
@act.enable_check_sec_column
チケット申請者の機密列の権限を検証します。
@act.disable_check_sec_column
チケット申請者の機密列の権限の検証をスキップします。
デフォルトの承認テンプレートの変更
DMSコンソールV5.0 にログインします。
左上隅にある
アイコンにポインターを移動し、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
-
対象のルールセットを見つけ、[Actions] 列の [Edit] をクリックします。
-
[Details] ページの左側メニューで、[Data Export] をクリックします。
-
[Checkpoint] で、[Basic Configuration Item] を選択します。
-
[Data Export Default Approval Template] ルールを見つけ、[Actions] 列の [Edit] をクリックします。
-
[Edit Configuration Item] ダイアログボックスで、[Switch Approval Template] をクリックします。
-
対象の [Template Name] の [Actions] 列にある [Select] をクリックします。
説明または、[Reset to Free of Approval] をクリックすることもできます。これにより、チケットは承認プロセスをバイパスします。
-
[Submit] をクリックします。
ルールの作成
DMSコンソールV5.0 にログインします。
左上隅にある
アイコンにポインターを移動し、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
-
対象のルールセットを見つけ、[Actions] 列の [Edit] をクリックします。
-
[Details] ページの左側メニューで、[Data Export] をクリックします。
-
[Checkpoint] で、[Pre-check Validation] を選択します。
-
[Create Rule] をクリックします。
-
[Create Rule - Data Export] ダイアログボックスで、次のパラメーターを設定します。
パラメーター
必須
説明
[チェックポイント]
はい
ルールを適用するチェックポイントを選択します。データエクスポートでは、次の 2 つのチェックポイントを利用できます。
-
事前チェック検証
-
承認ルール検証
[テンプレートデータベース]
はい
テンプレートデータベースには、多数のルールテンプレートが用意されています。[チェックポイント] を選択した後、必要に応じて [テンプレートデータベース] からルールテンプレートを読み込むことができます。利用可能なテンプレートは次のとおりです。
-
事前チェック検証:データベースとテーブルの権限検証、機密列の権限検証、および行の権限検証を制御するためのテンプレート。
-
承認ルール検証:承認不要、デフォルトの承認定義、および機密フィールドをエクスポートする際の承認プロセスを設定するためのテンプレート。
[ルール名]
はい
ルールのカスタム名を入力します。
説明[Template Database] からテンプレートを選択すると、このフィールドは自動的に入力されます。
[ルール DSL]
はい
ルール DSL を入力します。DSL 構文の詳細については、「セキュリティルール DSL 構文」をご参照ください。
-
ルール DSL を入力する際、ダイアログボックスの右側にあるファクター、アクション、関数、および演算子のリストを参照できます。
-
ルールテンプレートを読み込んだ場合、そのルール DSL を変更できます。
-
-
[Submit] をクリックします。
説明新しいルールは、デフォルトで [Disabled] になっています。現在のページで対応するチェックポイントを選択し、新しいルールの名前を見つけ、[Actions] 列の [Enable] をクリックし、次に [Confirm] をクリックします。これで、新しいルールが有効になります。