Data Management Service (DMS) を使用すると、データベースのカラムを機密カラムとしてマークし、ユーザーごとにマスキングされたデータの表示形式を制御し、承認ワークフローを通じて機密データへのアクセスを管理できます。本トピックでは、通常の実施順序に従って、上記の 3 つのタスクを順に説明します。
ワークフローの概要:
| ステップ | タスク | 必要なロール |
|---|---|---|
| 1 | 機密フィールドの設定 — カラムを機密としてマークし、感度レベルを設定する | DMS 管理者、データベース管理者 (DBA)、またはセキュリティ管理者 |
| 2 | データマスキングルールの設定 — 各機密カラムに適用されるマスキングアルゴリズムを変更する | 任意の DMS ユーザー |
| 3 | 機密フィールドへの権限申請 — 特定のカラムに対するクエリ、エクスポート、または変更アクセスを申請する | 任意の DMS ユーザー |
ステップ 1 の承認が完了すると、DMS はデフォルトで完全マスキングを適用します。ステップ 2 を使用してマスキングアルゴリズムを変更できます。管理者およびデータベース管理者 (DBA) を含むすべてのユーザーは、基盤となるデータを閲覧する前に、必ずステップ 3 を完了する必要があります。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
次のいずれかのロールを有すること:DMS 管理者、データベース管理者 (DBA)、またはセキュリティ管理者。
機密データ保護機能が有効化されていること。詳細については、「機密データ保護機能の有効化」をご参照ください。
DMS コンソール V5.0 にアクセスします。
DMS におけるご自身のロールを確認するには、コンソール右上隅のアイコンにカーソルを合わせます。
サポート対象のデータベース:
| カテゴリ | データベース |
|---|---|
| リレーショナルデータベース | MySQL、SQL Server、PostgreSQL、MariaDB、PolarDB for PostgreSQL (Compatible with Oracle)、PolarDB for Xscale、ApsaraDB for OceanBase、Oracle、DB2、Dameng (DM)、Lindorm_CQL、Lindorm_SQL、OpenGauss |
| データウェアハウス | AnalyticDB for MySQL、AnalyticDB for PostgreSQL、Data Lake Analytics (DLA)、ClickHouse、MaxCompute、Hologres、Hive |
機密フィールドの設定
この機能は管理者のみが利用可能です。
Data Management (DMS) 5.0 コンソール にログインします。
左側ナビゲーションウィンドウの データベースインスタンス セクションで、管理対象のデータベースを検索します。
該当データベースを右クリックし、テーブル を選択して「テーブル一覧」ページを開きます。
代替方法:SQLConsole タブを開きます。上部ナビゲーションバーから SQL コンソール > SQL コンソール を選択し、データベースを選択して 確認 をクリックします。その後、右上隅の
アイコンをクリックして「テーブル一覧」ページに移動します。管理対象のテーブルの左側にある
アイコンをクリックし、「カラム」タブで 調整 をクリックします。「感度レベルの調整」ダイアログボックスで、1 つ以上のフィールドの感度レベルを設定します。セキュリティ部門による承認申請 をクリックします。DMS により「感度チケットの詳細」ページに遷移します。タスクを実行するには、承認 をクリックします。
このチケットは、DMS 管理者、DBA、またはセキュリティ管理者のロールを持つユーザーであれば誰でも承認できます。
SQLConsole タブに戻り、該当テーブルをダブルクリックして、調整済みフィールドがマスキングされていることを確認します。デフォルトのマスキングアルゴリズムは完全マスキングです。
管理者および DBA を含むすべての DMS ユーザーは、基盤となるデータを閲覧する前に、機密フィールドへの権限申請を行う必要があります。詳細については、「機密フィールドへの権限申請」をご参照ください。
データマスキングルールの設定
DMS コンソール V5.0 にログインします。
上部ナビゲーションバーで、セキュリティおよびディザスタリカバリ (DBS) > 機密データ > 機密データ資産 の順に選択します。
シンプルモードの場合:左上隅の
アイコンにカーソルを合わせ、すべての機能 > セキュリティおよびディザスタリカバリ (DBS) > 機密データ > 機密データ資産 の順に選択します。機密データ資産 ページの右上隅で、グローバル機密データ をクリックします。
フィールド制御 タブで、1 つ以上のフィールドを選択し、データマスキングアルゴリズムの調整 をクリックします。
既存のマスキングルールを使用するか、新規に作成します。
既存のルールを使用する場合: ドロップダウンリストからルールを選択し、保存 をクリックします。
新しいルールを作成する:「[データマスキングルールの作成]」をクリックします。 「[データマスキングルール]」ページで、「[データマスキングルールの作成]」をクリックし、「[ルールの作成]」ページでルール名とマスキングアルゴリズムを入力します。 詳細については、「データマスキングアルゴリズムの管理」をご参照ください。
機密フィールドへの権限申請
管理者および DBA を含むすべての DMS ユーザーは、機密フィールドのデータをクエリする前に、必ず権限申請を提出する必要があります。
DMS コンソール V5.0 にログインします。
上部ナビゲーションバーで、セキュリティおよびディザスタリカバリ (DBS) > 権限センター > 権限チケット の順に選択します。
シンプルモードの場合:左上隅の
アイコンにカーソルを合わせ、すべての機能 > セキュリティおよびディザスタリカバリ (DBS) > 権限センター > 権限チケット の順に選択します。右上隅で、アクセス申請 > 機密カラム権限 を選択します。
権限申請チケットページの検索ボックスにデータベース名を入力し、検索 をクリックして機密フィールドを選択します。
追加 をクリックします。選択したフィールドが 選択済みのデータベース/テーブル/カラム セクションに表示されます。
権限の選択 セクションで、以下のパラメーターを設定し、送信 をクリックします。
送信後は承認を待ってください。ステータスを確認するには、DMS ホームページの マイチケット セクションで 送信済みチケット をクリックします。
パラメーター 説明 権限 申請する権限の種類です。以下のいずれか 1 つ以上を選択します:クエリ、エクスポート、または 変更。 データマスキング方式 承認後に、機密データがあなたにどのように表示されるかを指定します。半機密化 では、設定済みのマスキングアルゴリズムによって生成されたフォーマットでデータが表示されます。プレーンテキスト では、マスキングなしでデータが表示されます。エクスポート 権限と 半機密化 を併用した場合、エクスポートされるデータも部分的にマスキングされます。 期間 権限の有効期間です。 申請理由 申請の業務背景および理由です。明確な理由を記載することで、承認プロセスが迅速化されます。 
チケットが承認された後、SQLConsole タブで機密フィールドのデータをクエリします。