すべてのプロダクト
Search

このプロダクト

    DataWorks:データセキュリティガード

    ドキュメントセンター

    DataWorks:データセキュリティガード

    最終更新日:Oct 22, 2025

    データセキュリティガードは、機密データの識別とマスキング、データへのウォーターマークの追加、データ権限の管理、データリスクの識別、データ漏洩元の追跡などの機能を提供する DataWorks サービスです。これらの機能は、機密データを管理し、データセキュリティを確保するのに役立ちます。このトピックでは、データセキュリティガードの使用手順と制限について説明します。

    手順

    データセキュリティガードでは、機密データ識別ルールを設定し、ルールに基づいて機密データを識別し、識別結果を表示し、機密データを処理できます。機密データを生成するイベントの前、最中、および後に、機密データを識別および管理できます。次の図は、データセキュリティガードの使用手順と関連機能を示しています。

    1. ステップ 1: 機密データを生成するイベントの前に機密データを識別します。

      機密データが生成される前に、データセキュリティガードを使用して資産データのカテゴリと感度レベルを指定し、複数の機密データ識別ルールを設定して機密データと関連するデータリスクを識別できます。次の表に詳細を示します。

      操作

      説明

      参考

      データのカテゴリと感度レベルの指定

      データ値、コンテンツの機密度、影響、および配布範囲に基づいて、データのカテゴリと感度レベルを指定できます。これにより、データカテゴリとデータ感度レベルに基づいてデータを管理できます。データ管理の原則とデータ開発の要件は、データ感度レベルによって異なります。

      DataWorks は、組み込みのデータカテゴリとデータ感度レベルのテンプレートを提供します。ビジネス要件に基づいて、カスタムのデータカテゴリとデータ感度レベルを設定できます。

      機密データのカテゴリと感度レベルを指定する

      機密データ識別ルールの設定

      機密フィールドタイプを定義し、データのソースと目的に基づいて、その機密フィールドタイプの機密データ識別ルールを設定できます。これにより、現在のワークスペース内の機密データを識別できます。機密データ識別ルールの条件を満たすコンテンツは、機密データと見なされます。

      次の識別方法がサポートされています:

      • データコンテンツに基づく識別: 組み込みルール、カスタムモデル、サンプルライブラリ、および正規表現に基づいて機密データを識別します。

      • メタデータに基づく識別: フィールド名とコメントに基づいて機密データを識別します。ワイルドカードを使用して、プレフィックス、サフィックス、および包含関係を設定できます。

      • 組み合わせ条件に基づく識別: OR、AND、およびその他の関係を使用して、複数の条件を含む機密データ識別ルールを設定できます。

      その他の設定の構成

      • システム構成: データセキュリティガードのアクセス制御モード、データウォーターマークに基づくデータリスクの追跡可能期間、リスク識別管理のデータ範囲、データリスク識別結果を含むアラート通知を受信するために使用されるメールおよび Webhook  URL などの設定を構成できます。

      • ユーザーグループ構成: 同じデータアクセス権限を持つ複数のアカウントを同時にユーザーグループに追加できます。データマスキングルールを設定するときに、ユーザーグループをホワイトリストに追加して、ユーザーグループ内のアカウントがマスキングされていない元のデータを表示できるようにすることができます。

    2. ステップ 2: 機密データを生成するイベントが発生しているときに機密データを管理します。

      機密データ識別ルールを設定して有効にすると、DataWorks はルール内の条件を満たす機密データを自動的に識別します。識別結果はデータセキュリティガードで表示できます。

      操作

      説明

      参考

      アクセス制御ポリシーの設定

      IP アドレスまたはデータベースユーザーに基づいて、パススルーまたはブロックポリシーを設定します。

      -

      データマスキングルールの作成

      識別された機密データに対してデータマスキングルールを設定できます。機密データは、設定されたデータマスキングルールに基づいて表示されます。データマスキングルールは、データ感度レベルによって異なります。

      データマスキングタイプ:

      • 動的データマスキング: DataWorks はクエリ結果の機密データをマスキングします。

      • 静的データマスキング: DataWorks は、機密データがデータベースに保存される前に機密データをマスキングします。

      データマスキングメソッドには、元のフォーマットベースの暗号化、マスクアウト、ハッシュベースの暗号化、文字置換、範囲変更、丸め、および空のままにする、などがあります。

      元のデータを返す必要があるシナリオでは、ホワイトリストを設定して、特定のアカウントがプレーンテキスト情報を表示できるようにすることができます。

      ビジネス要件に基づいて、データマスキングタイプとデータマスキングメソッドを選択できます。

      データマスキングルールの作成

      リスク識別ルールの管理

      データセキュリティガードの組み込みリスク識別ルールは、有効にした後で使用できます。また、ビジネス要件に基づいてリスク識別ルールを設定し、リスク識別ルール内のイベントの発生回数を、イベント発生に指定されたしきい値と比較することもできます。たとえば、リスク識別ルールでデータ量または周波数の比較を指定した場合、システムは高リスク操作を自動的に検出し、ルール内の条件が満たされるとアラート通知を送信します。

      リスク特定結果の処理

      識別されたリスクのある操作の詳細を表示し、操作をリスクあり、リスクなし、またはリスク処理済みとしてマークできます。

    3. ステップ 3: リスクのある操作の監査とデータ漏洩元の追跡。

      リスク識別結果に基づいて機密データを処理および管理し、データセキュリティを確保できます。

      操作

      説明

      参考

      リスクのある操作の監査

      データセキュリティガードは、IP アドレス、ポート情報、データベースユーザーなど、機密データに関わるすべての動作を記録し、機密データリネージを提供します。前述の情報に基づいて、リスクのある操作を監査できます。

      機密データ識別ルールに基づいて取得された機密データ識別結果を手動で修正できます。

      ウォーターマークに基づくデータ漏洩元の追跡

      データ漏洩が発生した場合、漏洩したデータファイル内のデータのウォーターマーク情報を抽出して、データ漏洩を引き起こしたユーザーを追跡できます。

      データ漏洩元の追跡

    制限

    エディション

    DataWorks Standard Edition 以上のエディションのみがデータセキュリティガードをサポートします。DataWorks を有効化する方法の詳細については、「DataWorks の有効化」をご参照ください。使用できるデータセキュリティガードの機能は、DataWorks のエディションによって異なります。詳細については、「DataWorks の各エディションの機能」をご参照ください。

    権限

    データセキュリティガードを有効にするには、次の権限が付与された Alibaba Cloud アカウントまたは RAM ユーザーを使用できます:

    説明

    • テナント管理者ロールまたはテナントレベルのセキュリティ管理者ロールが割り当てられているユーザーは、データセキュリティガードのすべての機能を使用できます。

    • ワークスペースレベルのセキュリティ管理者ロールが割り当てられているユーザーは、アクセス権限を持つワークスペースで関連機能を使用できます。たとえば、データリネージ機能を使用して機密フィールドタイプを変更する場合、アクセス権限を持つワークスペースのみを選択できます。アクセス権限のないワークスペースでデータセキュリティガード機能を使用したい場合は、必要な権限を申請する必要があります。詳細については、「ワークスペースレベルのサービスに対する権限の管理」をご参照ください。

    特徴

    データセキュリティガードでは、機密データ識別機能と動的データマスキング機能を使用して、E-MapReduce (EMR)、MaxCompute、および Hologres コンピュートエンジンでのみ機密データを識別し、動的にマスキングできます。

    EMR コンピュートエンジンの次の制限に注意してください:

    • 機密データ識別機能とデータマスキング機能は、特定のタイプの EMR クラスターと EMR テーブルでのみサポートされます。次の表に詳細を示します。

      説明

      支持 アイコンはデータプレビュー機能がサポートされていることを示し、不支持 アイコンはデータプレビュー機能がサポートされていないことを示します。

      EMR クラスタータイプ

      メタデータストレージタイプ

      データストレージタイプ: OSS

      データストレージタイプ: OSS-HDFS

      データストレージタイプ: HDFS

      DataLake クラスター

      Data Lake Formation (DLF)

      不支持

      不支持

      不支持

      RDS インスタンス

      支持

      支持

      支持

      MySQL

      支持

      支持

      支持

      カスタムクラスター

      DLF

      不支持

      不支持

      不支持

      RDS インスタンス

      支持

      支持

      支持

      MySQL

      支持

      支持

      支持

      その他のクラスター

      --

      不支持

      説明

      この機能は、中国 (杭州)、中国 (上海)、中国東部 2 (金融)、中国 (北京)、中国 (深圳)、中国南部 1 (金融)、中国 (成都)、中国北部 2 (Ali Gov 1)、中国 (香港)、米国 (シリコンバレー)、シンガポール、マレーシア (クアラルンプール)、およびドイツ (フランクフルト) の各リージョンでのみ利用できます。

    • EMR クラスターでデータセキュリティガードを使用する場合は、スケジューリング用の専用リソースグループをアップグレードする必要があります。DataWorks DingTalk グループに参加して、アップグレードのテクニカルサポートをリクエストできます。

    • デフォルトでは、データセキュリティガードは Alibaba Cloud アカウントを使用してデータをサンプリングします。EMR クラスターで Lightweight Directory Access Protocol (LDAP) 認証が有効になっており、Ranger または DLF-Auth を使用してテーブル権限を管理している場合は、Alibaba Cloud アカウントとクラスターアカウント間のマッピングを設定する必要があります。これにより、Alibaba Cloud アカウントが EMR クラスター内のテーブルにアクセスするために必要な権限を持つことが保証されます。詳細については、「DataWorks メンバーアカウントと EMR クラスターアカウント間のマッピングの設定」をご参照ください。

    データセキュリティガードページに移動

    1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。

    2. 左側のナビゲーションウィンドウで、[データ使用セキュリティ] > [機密データ管理] をクリックして、[データセキュリティガード] ページに移動します。

      説明

      • Alibaba Cloud アカウントに必要な権限が付与されている場合は、データセキュリティガードページに直接アクセスできます。

      • Alibaba Cloud アカウントに必要な権限が付与されていない場合は、データセキュリティガードの権限付与ページにリダイレクトされます。データセキュリティガードの機能は、Alibaba Cloud アカウントに必要な権限が付与された後にのみ使用できます。