機密データ保護機能の有効化とインスタンススキャンタスクの作成 - Data Management

機密データ保護機能は、データベースインスタンスをスキャンして、個人識別用情報 (PII) や金融記録などの機密フィールドを検出し、分類します。また、各フィールドに適切なデータカテゴリおよびセキュリティレベルを付与（タグ付け）します。スキャン完了後、スキャン結果から直接マスキングルールを適用したり、アクセス権限を管理したりできます。

本トピックでは、以下の 3 つのタスクについて説明します：

データベースインスタンスに対する機能の有効化
機密フィールドの検出のためのスキャンタスクの設定
識別結果の表示および適用

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

DMS 管理者、データベース管理者 (DBA)、またはセキュリティ管理者のロール
ロールの確認方法：DMS コンソールの右上隅にあるプロファイルアイコンにポインターを合わせます。
機密データ保護機能を購入済みであること。購入するには、DMS コンソールの右上隅にある注文アイコンにポインターを合わせ、DMS 注文管理 を選択します。表示されるダイアログボックスで、機能を有効化可能な利用可能インスタンス数を確認できます。詳細については、「DMS サービスの購入」をご参照ください。

対応しているデータベースインスタンスであること。対応しているデータベースタイプは以下のとおりです：データウェアハウス

AnalyticDB for MySQL
AnalyticDB for PostgreSQL
Data Lake Analytics (DLA)
ClickHouse
MaxCompute
Hologres
Hive

リレーショナルデータベース

エンジン	対応するバリエーション
MySQL	ApsaraDB RDS for MySQL、PolarDB for MySQL、その他のソースからの MySQL データベース
SQL Server	ApsaraDB RDS for SQL Server、その他のソースからの SQL Server データベース
PostgreSQL	ApsaraDB RDS for PostgreSQL、PolarDB for PostgreSQL、その他のソースからの PostgreSQL データベース
MariaDB	ApsaraDB RDS for MariaDB、その他のソースからの MariaDB データベース
PolarDB for PostgreSQL (Compatible with Oracle)	—
PolarDB for Xscale (PolarDB-X)	—
OceanBase	—
Oracle	—
Db2	—
Dameng (DM)	—
Lindorm	Lindorm_CQL、Lindorm_SQL
openGauss	—

機密データ保護機能の有効化

有効化には、以下の 2 つの方法があります。

機密データモジュール：機能の有効化と、オプションでスキャンタスクの設定を一連のフローで実行します。1 台以上のインスタンスに対して機能を有効化する場合に使用します。
編集ダイアログボックス：単一のインスタンスに対して機能を有効化し、スキャンタスクの即時設定を行いません。機能を素早く有効化する必要がある場合に使用します。

機密データモジュールからの有効化

DMS コンソール V5.0 にログインします。
トップナビゲーションバーで、セキュリティおよび仕様 > 機密データ > 機密データ資産 の順に選択します。
DMS コンソールをシンプルモードで使用している場合は、左上隅のアイコンにポインターを合わせ、すべての機能 > セキュリティおよび仕様 > 機密データ > 機密データ資産 の順に選択します。
機密データ資産 タブで、インスタンス一覧 セクション内の 未開設 タブをクリックします。
このタブには、機能が無効化されているインスタンスのみが表示されます。
対象のインスタンスを見つけ、操作列の 今すぐ有効化 をクリックします。
機密データ保護の有効化 ダイアログボックスで、スキャンタスクを即時に設定するかどうかを選択します。
- 当面スキャンタスクをスキップする場合は、スキャンタスクの設定 をオフにします。有効化後に、有効化済み タブから後続でスキャンタスクを設定できます。
- 即時にスキャンタスクを設定する場合は、スキャン方法および範囲を選択し、結果を自動的に適用するかどうかを指定します。パラメーターの詳細については、「スキャンタスクの設定」をご参照ください。
OK をクリックします。

編集ダイアログボックスからの有効化

DMS コンソール V5.0 にログインします。
ホーム タブの左側データベースインスタンス一覧で、対象のインスタンスを右クリックし、編集を選択します。
基本情報 セクションで、高度な機能パック パラメーターに 機密データ保護 を選択し、分類テンプレート のドロップダウンリストからテンプレートを選択します。このテンプレートにより、スキャン時の機密データの分類および評価が決定されます。
保存をクリックします。

スキャンタスクの設定

スキャン中、DMS は指定されたデータベースのメタデータをスキャンし、100～200 件のデータをランダムにサンプリングします。サンプリングされたデータは、機密データ分析専用であり、それ以外の目的で保存されることはありません。

機密データ資産 タブで、インスタンス一覧 セクション内の 有効化済み タブをクリックします。
対象のインスタンスを見つけ、操作列の スキャンタスクの設定 をクリックします。

スキャンタスクのパラメーターを設定します。

パラメーター	オプション	説明
スキャン方法	即時タスク（1 回限りの即時実行）	OK をクリックした直後にスキャンを開始します。
	スケジュールタスク（指定日時での 1 回限りの実行）	指定した日時で 1 回だけ実行します。
	定期タスク	設定した定期スケジュールで繰り返し実行します。
範囲	すべてのデータベース	インスタンス内のすべてのデータベースをスキャンします。
	特定のデータベース	選択したデータベースのみをスキャンします（複数選択可）。
スキャン結果を即時に適用しますか？	はい	スキャン後に、フィールドに自動的にデータカテゴリおよびセキュリティレベルが付与（タグ付け）されます。
	いいえ（識別結果から手動で適用してください）	結果を識別結果パネルに保存し、適用前に手動レビューを行います。

OK をクリックします。
DMS が機密データを自動検出できるよう、インスタンスへのアクセス権限を付与します。
1. 有効化済み タブで、対象のインスタンスを見つけ、操作列の アカウント承認 をクリックします。
2. アカウント承認 ダイアログボックスで、データベースアカウントおよびパスワードを入力します。
3. OK をクリックします。
インスタンスが セキュリティコラボレーション モードで管理されている場合、DMS が自動的にアクセス権限を付与します。このステップはスキップしてください。

識別結果の表示

結果の表示

概要セクションで、スキャン済み の下に表示される数字をクリックし、識別タスクログ ページを開きます。スキャンタスクを見つけ、実行履歴 列の数字をクリックして、識別結果 パネルを開きます。

または、インスタンス一覧 セクションで対象のインスタンスを見つけ、操作列の タスクの詳細 をクリックします。

結果の適用

スキャンタスクの設定時に スキャン結果を即時に適用しますか？ をはいに設定した場合、DMS が結果を自動的に適用します。追加の操作は不要です。

[いいえ] に設定した場合、手動で結果を適用してください:

識別タスクログ ページに移動します。
スキャンタスクを見つけ、実行履歴 列の数字をクリックします。
識別結果 パネルで、操作列の 有効化 をクリックします。

次のステップ

識別結果を適用した後は、フィールド制御 タブで機密フィールドを管理できます。

フィールドの感度レベルを調整する
フィールドのデータマスキングルールを変更する
フィールドに対する権限を付与する

フィールド制御 を開くには、有効化済み タブの操作列で 機密データ一覧 をクリックし、その後 フィールド制御 タブをクリックします。詳細については、「機密データの管理」をご参照ください。

インスタンスに対する機能の無効化については、「機密データ保護機能の無効化」をご参照ください。