Data Security Center (DSC) は、ご利用のクラウドデータ資産をスキャンして機密データを識別し、タイプ別に分類してタグを適用します。これにより、セキュリティチームは環境全体における機密データの保存場所を明確に把握できます。
このガイドでは、DSC の有効化、データベースの接続、識別タスクの実行、結果の確認という 4 つのステップを説明します。
このガイドでは、中国 (張家口) リージョンの ApsaraDB RDS for SQL Server インスタンスを例として使用します。
前提条件
開始する前に、以下のものがあることを確認してください:
DSC に接続可能な、サポートされているデータベース。サポートされているデータベースタイプとリージョンについては、「サポートされているデータ資産タイプ」および「サポートされているリージョン」をご参照ください。
(RAM ユーザーを使用する場合) DSC にアクセスするための Resource Access Management (RAM) ユーザー権限。詳細については、「RAM ユーザーへの DSC アクセス権限の付与」をご参照ください。
ステップ 1:DSC の購入と権限付与の完了
DSC は、毎月のリソースが固定された無料版を提供しています。このガイドでは無料版を使用します。
お客様のアカウントが無料版の利用対象でない場合は、代わりに有料版をご購入ください。詳細については、「DSC の購入」をご参照ください。
DSC コンソールにログインし、[無料版を有効化] をクリックします。
プロンプトに従って、DSC が他のクラウドリソースにアクセスするための権限を付与します。詳細については、「DSC への Alibaba Cloud リソースへのアクセス権限の付与」をご参照ください。
ステップ 2:データベースの DSC への接続
データベースを接続すると、DSC はそのデータベース上に識別タスクを実行するための読み取り専用アカウントを作成します。DSC はデータベースに対して読み取り専用の権限を持ちます。接続後、DSC は組み込みの インターネット業界向け分類テンプレート を使用して、直ちにデフォルトの識別タスクを実行します。
ヒント:スキャン前に別の識別テンプレートを使用するには、先に進む前に 識別設定 ページに移動してください。詳細については、「識別テンプレートの表示と設定」をご参照ください。
権限付与管理 ページで、[資産の権限付与管理] をクリックします。
[資産の権限付与管理] パネルで、[非構造化データ] セクションの [RDS] をクリックし、次に [資産の同期] をクリックします。接続したい ApsaraDB RDS データベースがすでに資産リストにある場合は、このステップをスキップしてください。
[未承認] タブでデータベースを見つけ、[操作] 列の [権限付与] をクリックします。
[権限付与管理] ページに戻り、データベースを見つけて、[操作] 列の [接続] をクリックします。
[接続] ダイアログボックスで、[今すぐ資産をスキャンして機密データを識別する] を選択し、[OK] をクリックします。DSC はデータベースの読み取り専用アカウントを作成し、直ちにデフォルトのデータ識別タスクを実行します。
重要本番ワークロードへの影響を避けるため、スキャンはオフピーク時間に実行してください。
[権限付与管理] ページに戻り、
アイコンをクリックしてデータをリフレッシュし、データベースの接続ステータスと機能ステータスが両方とも正常であることを確認します。
ステップ 3:識別タスクのモニタリング
データベースを接続すると、DSC は自動的にデフォルトの識別タスクを作成します。DSC は、メインの識別テンプレートと共通の識別テンプレートを使用して、接続されたデータベースをスキャンします。タスクが完了した後にのみ、識別結果を表示できます。
タスク ページで、[識別タスク] タブに移動し、[デフォルトタスク] をクリックします。
[識別タスクのモニタリング] ページで、ご利用のデータベースのデフォルトタスクのスキャンステータスを確認します。スキャン時間はデータ量によって異なります。先に進む前に、[スキャンステータス] が [完了] と表示されるまでお待ちください。
ステップ 4:識別結果の確認
結果を確認する前に、DSC が秘密度情報をどのように表示するかを注意してください:
| フィールド | 意味 |
|---|---|
| 感度レベル | 色で示されます。色が濃いほど感度が高くなります |
| 該当なし | この資産では機密データは識別されませんでした |
個人情報  | 個人を識別できるデータ用のタグ |
個人機密情報  | 機密性の高い個人データ用のタグ |
手動で追加できるのは [個人情報] と [個人機密情報] のタグのみです。
資産インサイト ページの [アセットタイプ] タブで、スキャンされたデータベースインスタンスを見つけます。DSC は各資産の [感度レベル] と [データタグ] を表示します。
データベースを見つけ、[操作] 列の [テーブル詳細] をクリックして、識別された各テーブルの統計情報と機密データを含む列を確認します。
次のステップ
DSC がデータベース内の機密データを識別し、タグ付けしたので、今後はカバレッジを拡大し、スキャンの動作をカスタマイズできます:
より多くのデータ資産の接続
DSC は、幅広いデータソースをサポートしています:ApsaraDB RDS、PolarDB、PolarDB for Xscale (PolarDB-X)、PolarDB-X 2.0、ApsaraDB for Redis、ApsaraDB for MongoDB、ApsaraDB for OceanBase、Tablestore、AnalyticDB for MySQL、AnalyticDB for PostgreSQL、Object Storage Service (OSS)、MaxCompute、および Elastic Compute Service (ECS) インスタンス上でホストされる自己管理データベースです。詳細については、「アセットの権限付与」をご参照ください。
識別テンプレートのカスタマイズ
DSC は、デフォルトのメインテンプレートとして インターネット業界向け分類テンプレート を、共通の識別テンプレートと併用します。識別設定 ページで、別の組み込みテンプレートに切り替えるか、独自の識別モデルと特徴を持つカスタムテンプレートを作成できます。詳細については、「識別テンプレートの表示と設定」をご参照ください。
カスタム識別タスクの作成
DSC では、メインの識別テンプレートと他の 2 つの識別テンプレートを有効にして、機密データを識別、分類し、タグを追加できます。デフォルトタスクでは、メインの識別テンプレートが使用されます。タスク ページで追加のタスクを作成し、メイン以外のテンプレートを割り当てて特定のデータ資産をスキャンします。詳細については、「識別タスクを使用した機密データの識別」をご参照ください。
