このトピックでは、機密データのスキャンと識別に関するよくある質問への回答を提供します。
データスキャンはデータベースのパフォーマンスに影響しますか?
Data Security Center (DSC) は、フルスキャン、増分スキャン、およびスケジュールされたスキャンをサポートしています。フルスキャンはデータベースのパフォーマンスへの影響は最小限であり、データベースのワークロードには影響しません。増分スキャンは、変更されたデータファイルのみに焦点を当てており、データベースのパフォーマンスへの影響はごくわずかです。
DSC は、アセットの承認を完了し、手動でフルスキャンを開始した場合、またはフルスキャンのスケジュールされた時刻になった場合にのみ、フルデータをスキャンします。 DSC は、データベース内のファイルまたはテーブルが変更された場合にのみ、増分データをスキャンします。 データスキャンのデータベースパフォーマンスへの影響を軽減するには、スキャンサイクルを指定するときに次の提案事項に注意してください。
でフルスキャンサイクルを延長します。
オフピーク時にスキャンをスケジュールします。
DSC はどのような種類のデータアセットをスキャンできますか?
DSC は、次の種類のデータアセットの構造化データと非構造化データをスキャンできます。
構造化データ:ApsaraDB RDS、PolarDB、PolarDB for Xscale (PolarDB-X)、PolarDB-X 2.0、ApsaraDB for Redis、ApsaraDB for MongoDB、ApsaraDB for OceanBase、およびセルフマネージドデータベース。
非構造化データ:Object Storage Service (OSS) および Simple Log Service。
ビッグデータ:Tablestore、MaxCompute、AnalyticDB for MySQL、および AnalyticDB for PostgreSQL
詳細については、「サポートされているデータアセットの種類」をご参照ください。
データアセットへの DSC のアクセスを承認してからスキャンが完了するまでどのくらいかかりますか?
DSC は、データアセットへの DSC のアクセスを承認してから 2 時間以内にデータのスキャンを開始します。 必要な時間は、データの合計サイズによって異なります。 データアセットに 10,000 を超えるテーブルなど多数のテーブルが含まれている場合、または OSS オブジェクトの合計サイズが 1 ペタバイトを超えるなど非常に大きい場合は、必要な時間が長くなります。 DSC がデータをスキャンすると、DSC コンソールの [概要] ページでスキャン結果が更新されます。 詳細については、「概要ページの情報の表示」をご参照ください。
DSC は OSS および Simple Log Service の非構造化データをどのようにスキャンしますか?
DSC は非構造化データをスキャンし、スキャン結果に基づいて機密データを識別します。
アセットの種類 | スキャン範囲 | スキャンされたデータオブジェクト |
OSS |
| <OSS バケット>/<オブジェクト名>。 各オブジェクトはデータオブジェクトとして使用されます。 |
SLS | 各スキャン中に、スキャンが実行された時刻に基づいて、前日の 00:00 から 24:00 までの間に保存された承認済みデータアセット内のすべてのデータがスキャンされます。 さらに多くのデータをスキャンする場合は、カスタム識別タスクを作成し、スキャン範囲を指定できます。 詳細については、「カスタム識別タスクの作成」をご参照ください。 | <Simple Log Service プロジェクト>/<ログストア>/<時間間隔>。 5 分ごとに時間間隔と見なされます。 各時間間隔に保存されているデータは、データオブジェクトとして使用されます。 |
DSC が OSS および Simple Log Service の非構造化データをスキャンする場合の課金ルールは何ですか?
DSC はサブスクリプション課金方式を使用します。 データスキャンと識別では、購入したリソース仕様が消費されます。 控除ルールは、購入したエディションによって異なります。
Enterprise Edition:保護するデータ量に基づいて、基本機能の料金が請求されます。 ストレージ保護容量 は、承認された OSS バケットのサイズと承認された Simple Log Service プロジェクトのサイズの 50% に基づいて差し引かれます。
Value-added Plan:DSC はデータのスキャンと識別をサポートしていません。
詳細については、「課金の概要」をご参照ください。
DSC は最近スキャンされた OSS オブジェクトを再スキャンできますか?
はい、DSC は OSS オブジェクトを再スキャンできます。 オブジェクトが変更されていない場合、DSC はオブジェクトを再スキャンしません。 オブジェクトが変更された場合、DSC は変更後 24 時間以内にオブジェクトを再スキャンします。
ビジネス要件に基づいて、OSS オブジェクトを手動で再スキャンできます。 詳細については、「識別タスク」をご参照ください。
DSC は、MaxCompute プロジェクトなどのデータアセットの構造化データをどのようにスキャンしますか?
DSC は、データベースまたはプロジェクトのフィールドの名前と値をスキャンし、スキャン結果に基づいて機密データを識別します。 たとえば、DSC は age フィールドの名前と値をスキャンします。 DSC がフィールドの値に基づいてフィールド値が機密かどうかを判断できない場合、DSC はフィールドの名前もチェックします。
初回スキャン:DSC がデータベースまたはプロジェクトにアクセスすることを承認した後、DSC はデータベースまたはプロジェクト内のすべてのテーブルをスキャンします。
増分スキャン:データベースまたはプロジェクトにテーブルを追加すると、DSC は追加されたテーブルをスキャンします。 既存のテーブルのスキーマを変更すると、DSC はテーブルを再スキャンします。
DSC はデータを取得するためにデータアセットにログオンしますか?
DSC がデータアセットへのアクセスを承認されている場合、DSC はデータアセットにログオンし、データサンプリングを実行して機密データを識別します。 DSC はデータアセットからのデータを保存しません。
どのようなシナリオで再スキャンタスクが必要ですか?
次の表は、DSC が承認済みデータアセット内のデータを自動的に再スキャンするシナリオを示しています。
シナリオ | スキャンロジック | 課金への影響 |
DSC がデータアセットにアクセスすることを初めて承認したとき。 | DSC はデータアセット内のすべてのデータをスキャンします。 | データアセットのフルスキャンの料金が請求されます。 |
DSC がデータアセットにアクセスしてスキャンすることを承認した後に、データアセット内のデータを変更したとき。 | MaxCompute またはデータベーステーブルに列を追加または削除すると、DSC は自動的にテーブルを再スキャンします。 テーブルに行を追加または削除しても、DSC は自動的にテーブルを再スキャンしません。 | データアセットのフルスキャンの料金が請求されます。 |
OSS バケットにオブジェクトを追加したり、既存のオブジェクトを変更したりすると、DSC は追加または変更されたオブジェクトを自動的に再スキャンします。 説明 OSS バケットからオブジェクトを削除しても、DSC は自動的にバケットを再スキャンしません。 | 追加または変更されたオブジェクトのスキャンの料金が請求されます。 | |
機密データ識別ルールを変更したとき。 たとえば、ルールを作成、削除、有効化、または無効化したとき。 | DSC は、すべての承認済みデータアセット内のすべてのデータを自動的に再スキャンします。 | すべての承認済みデータアセットのフルスキャンの料金が請求されます。 |
DSC は暗号化された承認済みデータアセットを識別できますか?
データアセットに対して透過的データ暗号化が有効になっている場合、データアセットを識別できます。
ApsaraDB for MongoDB のフルテーブルスキャンは、I/O 操作とオンラインサービスに大きな影響を与えますか?
フルテーブルスキャンはデータベースのパフォーマンスへの影響は最小限であり、データベースのワークロードには影響しません。
アセットスキャンのデータベースパフォーマンスへの影響を軽減するには、フルスキャンサイクルを延長するか、スキャン時間をオフピーク時に設定できます。
DSC は OSS の圧縮パッケージとテキストファイル内の機密データを識別できますか?
はい、DSC は OSS の圧縮パッケージとテキストファイル内の機密データを識別できます。 [識別設定] ページの [ファイルの種類] タブで、DSC によって識別できる OSS ファイルの種類を表示できます。
DSC は機密データ識別結果のエクスポートをサポートしていますか?
はい、DSC では機密データ識別結果をエクスポートできます。 詳細については、「識別タスクを使用して機密データを識別する」をご参照ください。
ApsaraDB for MongoDB のスキャン結果は、特定のフィールドまで正確にすることができますか?
いいえ、スキャン結果は特定のフィールドまで正確にすることはできません。 ApsaraDB for MongoDB は、分散ファイルストレージに基づくデータベースです。 最小ストレージ単位はドキュメントです。
インスタンス名、データベース名、テーブル名、列名、リスクレベルなどの機密データをクエリするために API 操作を呼び出すことはできますか?
はい、API 操作を呼び出して機密データをクエリできます。
操作 | 説明 |
DescribeOssObjects:OSS オブジェクトをクエリします。 | オブジェクトが属するインスタンスの ID (InstanceId)、バケット名 (BucketName)、オブジェクト ID (FileId)、およびリスクレベル ID (RiskLevelId) を取得できます。 |
DescribeInstances:データアセットインスタンスをクエリします。 | データアセットの ID (Id) と名前 (Name) を取得できます。 |
DescribeTables:テーブルをクエリします。 | テーブル名 (Name) とリスクレベル (RiskLevelId) を含む、テーブルに関する情報 (Items) を取得できます。 |
ApsaraDB for Redis は機密データ識別をサポートしていますか?
いいえ、ApsaraDB for Redis は機密データ識別をサポートしていません。 DSC は、ApsaraDB for Redis に対してベースラインチェック機能のみを提供します。 詳細については、「セキュリティベースラインチェック」をご参照ください。
共通の識別テンプレートを選択できないのはなぜですか?
共通の識別テンプレートを設定する必要はありません。 組み込みの識別テンプレートを使用する識別タスクを作成すると、デフォルトで共通の識別テンプレートが使用されます。 詳細については、「識別テンプレートの表示と設定」および「識別タスクを使用して機密データをスキャンする」をご参照ください。
Free Edition の識別タスクが待機状態で止まっているのはなぜですか?
スキャンできるデータの無料枠が不足しています。 その結果、識別タスクを実行できず、待機状態のままになります。 DSC Free Edition では、最大 5 GB の保存データと 100 のデータベーステーブルをスキャンできます。 機密データ識別機能を引き続き使用するには、DSC を購入できます。 詳細については、「DSC の購入」をご参照ください。