データ管理 (DMS) の機密データ保護機能は、ハッシュ、カバー、置換、変換、および暗号化のデータマスキングアルゴリズムを提供します。 組み込みのデータマスキングアルゴリズムに基づいて、さまざまなデータマスキングルールをカスタマイズして、柔軟なデータマスキングポリシーを定義できます。 機密データ保護機能は、データマスキングのための組み込みの完全なカバールールを提供します。 他のデータマスキング方法を使用する場合は、このトピックで説明されている手順を参照して、データマスキングルールを作成または変更できます。
前提条件
システムロールは、管理者、データベース管理者 (DBA) 、またはセキュリティ管理者です。 システムロールを表示する方法の詳細については、「システムロールの表示」をご参照ください。
使用上の注意
セキュリティホスティング機能が有効になっているインスタンスでは、フィールドにカスタムデータマスキングルールを設定した後、設定したデータマスキングルールに基づいてマスクされたデータを表示するには、部分的なマスキング権限を申請する必要があります。 それ以外の場合は、完全にマスクされたデータのみを表示できます。 部分的なマスキング権限を適用する方法の詳細については、「権限の管理」をご参照ください。
データマスキングアルゴリズムを作成した後、機密フィールドのデータマスキングアルゴリズムを新しいデータマスキングアルゴリズムに変更する必要があります。 このようにして、データ・マスキング・アルゴリズムが有効になる。
データマスキングアルゴリズムの作成
DMSコンソールV5.0 にログインします。
上部のナビゲーションバーで、を選択します。
説明DMSコンソールをシンプルモードで使用する場合は、左上隅の
アイコンの上にポインターを移動し、 を選択します。 [ルール設定] ページで、[データマスキングアルゴリズム] タブをクリックします。 このタブで、[データマスキングアルゴリズムの追加] をクリックします。
新しいアルゴリズムパネルで、データマスキングアルゴリズムを設定します。
DMSは、次の組み込みデータマスキングアルゴリズムを提供します。
アルゴリズム型
アルゴリズム名
説明
ハッシュ
MD5
128ビット (16バイト) のハッシュ値を生成します。 MD5は、広く使用されている暗号ハッシュ関数です。
SHA1
メッセージダイジェストと呼ばれる160ビット (20バイト) のハッシュ値を生成します。 SHA1は暗号ハッシュ関数である。
SHA256
256ビットのハッシュ値を生成します。
HMAC
ハッシュ関数とキーを使用してメッセージを認証します。
カバーアップ
フルカバー
フィールドの値全体をマスクします。
たとえば、電話番号を **** 1381111完全にマスクする場合は、Cover stringパラメーターを *********** に設定します。 すると、データマスキング結果は *********** となる。
固定位置カバー
フィールドの固定位置に文字列をマスクします。
たとえば、IPアドレス192.168.255.254の2番目のセグメントをマスクする場合は、Cover文字列パラメーターを *** に設定し、mask position設定パラメーターを
(5,7)に設定します。 次に、データマスキング結果を192する。***.255.254。固定文字マスク
フィールドの指定された文字をマスクします。
たとえば、電子メールアドレスusername@example.comでサンプルをマスクする場合は、Cover文字列パラメーターを ******** に設定し、隠される文字列パラメーターをexampleに設定します。 次に、データマスキング結果はusername @ *******.comです。
交換
マップの交換
指定された文字列を別の文字列に置き換えます。
説明複数の文字列はコンマ (,) で区切ります。
置換する文字列の数は、置換に使用する文字列の数と同じである必要があります。
たとえば、文字列abcdのabをmnに置き換える場合は、Match stringパラメーターをabに設定し、replace Byパラメーターをmnに設定します。 次に、データマスキング結果はmncdである。
ランダム置換
フィールドの指定した部分を、指定したランダムな文字に置き換えます。
たとえば、メールアドレスusername@example.comのユーザー名をランダムな文字に置き換える場合は、置換位置パラメーターを
(1,8)に設定し、ランダム文字パラメーターをabcに設定します。 その後、データマスキング結果をacbbbbac@example.comすることができる。説明ランダムな文字を2文字以上指定した場合、データのマスキング結果はランダムになります。
Transformation
数値の丸め
小数点の前の指定された桁に数値を丸めます。
たとえば、生データが1234.12で、[Keep the first decimal place] パラメーターを2に設定した場合、データのマスキング結果は1230になります。
データ丸め
日付と時刻を丸めます。
たとえば、生データが2021-10-14 15:15:30で、日付の丸めレベルパラメーターを時間に設定した場合、データのマスキング結果は2021-10-14 15:00:00になります。
文字変位
フィールドの文字をループ状に左に移动します。
たとえば、生データが345678で、String left shift numberパラメーターを2に設定した場合、データのマスキング結果は567834になります。
暗号化
DES
データ暗号化標準 (DES) アルゴリズムを使用してデータを暗号化します。 キーの長さは8文字で、データマスキングの結果は16文字です。
AES
Advanced Encryption Standard (AES) アルゴリズムを使用してデータを暗号化します。 DESアルゴリズムよりも高度な暗号化アルゴリズムです。 キーの長さは16文字で、データマスキングの結果は32文字です。
AES暗号化強化
キーの長さを制限しないAESアルゴリズムを使用します。 データマスキングの結果は32文字です。
解読
AES解読
AESアルゴリズムを使用して暗号化されたデータを復号します。
AES復号化強化
AES暗号化強化アルゴリズムを使用して、暗号化されたデータを復号化します。
データマスキング結果をテストします。
マスクする生データを入力します。
テストをクリックします。
データが期待どおりにマスクされているかどうかを確認します。
たとえば、生データが345678で、Algorithm TypeパラメーターをTransformationに、Level 2パラメーターをCharacter displacementに、String left shift numberパラメーターを2に設定した場合、マスキング結果を567834する必要があります。 データが期待どおりにマスクされているかどうかを確認します。
送信をクリックします。
説明デフォルトでは、default組み込みルールは機密データに適用されます。 機密データにカスタムデータマスキングルールを適用する方法の詳細については、「機密データの管理」をご参照ください。
1つ以上のフィールドのデータマスキングアルゴリズムを変更します。
データマスキングアルゴリズムを作成した後、[機密データ資産] ページで、機密フィールドのデータマスキングアルゴリズムを新しいデータマスキングアルゴリズムに変更する必要があります。 このようにして、データ・マスキング・アルゴリズムが有効になる。
1つ以上のフィールドのデータマスキングアルゴリズムの変更
DMSコンソールV5.0 にログインします。
左上隅の
アイコンの上にポインターを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[インスタンスリスト] セクションで、管理するインスタンスを見つけ、[操作] 列の [機密データリスト] をクリックします。
[フィールドコントロール] タブで、データマスキングアルゴリズムを変更するフィールドを選択します。
左上隅の [データマスキングアルゴリズムの調整] をクリックします。
[データマスキングアルゴリズムの選択] ダイアログボックスで、カスタムデータマスキングアルゴリズムを選択し、[保存] をクリックします。 データマスキングアルゴリズムの作成方法の詳細については、このトピックの「データマスキングアルゴリズムの作成」をご参照ください。
説明デフォルトのデータマスキングアルゴリズムはdefaultです。 フィールドの新しいデータマスキングアルゴリズムをDEFAULTとしてリセットするには、フィールドの [操作] 列の [データマスキングアルゴリズムのリセット] をクリックします。