Data Security Center (DSC) は、金融、エネルギー、自動車などのさまざまな業界向けに機密データを識別するための組み込み識別テンプレートを提供します。識別テンプレートを使用して、資産内の機密データを識別できます。組み込み識別テンプレートを使用するか、組み込み識別テンプレートに基づいてカスタム識別テンプレートを設定できます。このトピックでは、識別テンプレートの概念について説明します。このトピックでは、識別テンプレートを管理する方法についても説明します。
識別テンプレートの説明
識別テンプレートは、機密データ分類の業界固有の標準を満たすように調整されています。識別テンプレートを使用して、機密データがセキュリティコンプライアンス要件を満たしているかどうかを確認できます。
識別テンプレートの定義
識別テンプレートには 1 つ以上の識別モデルが含まれ、識別モデルには 1 つ以上の識別特徴が含まれます。
用語 | 説明 |
識別特徴 | 識別特徴は、コンテンツ識別、メタデータ識別、および辞書識別をサポートします。この特徴は、正規表現、含む、含まないなどのオペレーターを使用して機密データを識別し、識別ルールを作成します。AND および OR 論理演算子を使用して複数の識別ルールを関連付け、複雑な識別ルールを作成できます。これにより、より柔軟な方法で機密データを識別できます。 DSC は、一般的な機密データカテゴリの組み込み識別特徴を提供し、カスタム識別特徴をサポートします。 |
識別モデル | 識別モデルは、1 つ以上の識別特徴に基づいて定義され、最終的な識別結果を生成します。識別モデルの範囲を設定できます。たとえば、データベースインスタンス、テーブル、OSS バケット、Simple Log Service Logstore、ファイルディレクトリなどの特定のデータ資産のみをサポートするように識別モデルを設定できます。 DSC は、一般的な機密データカテゴリの組み込み識別モデルを提供し、カスタム識別モデルをサポートします。 |
識別モデルと識別特徴の使用方法の詳細については、このトピックの「識別モデルと識別特徴の表示と設定」セクションをご参照ください。
識別テンプレートのタイプ
DSC は、一般的な業界向けの組み込み識別テンプレートを提供し、カスタム識別テンプレートをサポートします。これにより、データ識別タスクを迅速に設定できます。詳細については、このトピックの「カスタム識別テンプレートの作成」セクションをご参照ください。
テンプレートタイプ | 説明 |
組み込み識別テンプレート | DSC は、金融業界向けデータ分類テンプレート、クラウドセキュリティ向け内部セキュリティテンプレート、電力業界向けデータ分類テンプレート、インターネット・オブ・ビークル (IoV) 業界向けデータ分類テンプレート、およびインターネット業界向けデータ分類テンプレートを提供します。 ビジネスシナリオに基づいて、組み込み識別テンプレートを選択できます。組み込み識別テンプレートに含まれる識別モデルは、組み込み識別モデルとして知られています。組み込み識別テンプレートと組み込み識別モデルを有効または無効にすることしかできません。組み込み識別テンプレートにカスタムの感度レベル、識別特徴、または識別モデルを設定することはできません。 詳細については、このトピックの「組み込み識別テンプレートの詳細の表示」セクションをご参照ください。 |
カスタム識別テンプレート | 組み込み識別テンプレートがビジネス要件を満たせない場合は、カスタム識別テンプレートを作成できます。識別特徴と識別モデルを設定して、ビジネス要件を満たすカスタム識別テンプレートを作成できます。 作成するカスタム識別テンプレートの数は 10 を超えることはできません。詳細については、このトピックの「カスタム識別テンプレートの作成」セクションをご参照ください。 |
識別テンプレートの感度レベル
DSC は S1 から S10 を使用して機密データを分類します。数値が大きいほど、感度レベルが高くなります。識別モデルで利用可能な感度レベルの範囲は、関連付けられた識別テンプレートに基づいています。詳細については、このトピックの「識別テンプレートの感度レベルの設定」セクションをご参照ください。
識別テンプレートの使用
識別タスクは、接続された資産のデータをスキャンし、機密データを識別し、機密データを分類し、必要な識別テンプレートの識別モデルに基づいてスキャン結果を生成します。
識別タスクには、有効な識別テンプレートを使用する必要があります。有効な識別テンプレートは、メイン識別テンプレート、アクティブな識別テンプレート、および共通識別テンプレートに分類されます。
カスタム識別タスクを作成するときに、メイン識別テンプレートとアクティブな識別テンプレートを選択できます。最大 2 つの識別テンプレートを選択できます。詳細については、「カスタム識別タスクの作成」をご参照ください。
テンプレートタイプ | 説明 |
メイン識別テンプレート | デフォルトでデフォルト識別タスクによって使用される識別テンプレート。DSC のデフォルトのメイン識別テンプレートは、インターネット業界向けデータ分類テンプレートです。メイン識別テンプレートを無効にすることはできません。 メイン識別テンプレートは 1 つだけ指定できます。アクティブな識別テンプレートをメイン識別テンプレートとして使用できます。詳細については、このトピックの「識別テンプレートの有効化」および「メイン識別テンプレートの指定」セクションをご参照ください。 DSC コンソールは、[分類と等級付け] の下の [資産インサイト] などのページに、メイン識別テンプレートに基づいた識別結果を表示します。 |
アクティブな識別テンプレート | 組み込み識別テンプレートまたはカスタム識別テンプレートをアクティブな識別テンプレートとして有効にできます。最大 2 つのアクティブな識別テンプレートを有効にできます。 |
共通識別テンプレート | デフォルトでは、識別タスクで組み込み識別テンプレートが使用される場合、共通識別テンプレートが使用されます。識別タスクで共通識別テンプレートを手動で選択することはできません。 共通識別テンプレートは、中国国家標準化管理委員会が発行した GB/T 35273-2020 情報セキュリティ技術 - 個人情報セキュリティ仕様に従って、個人情報のセキュリティとプライバシー権を保護するために使用されます。共通識別テンプレートは、組織が効率的な方法で個人情報管理とリスク管理を実装するのに役立ちます。 |
識別テンプレートの使用方法の詳細については、このトピックの「識別テンプレートの使用」セクションをご参照ください。
識別モデルと識別特徴の表示と設定
組み込み識別モデルと識別特徴の表示
組み込み識別モデル
Data Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、を選択します。
[識別モデル] タブをクリックし、[すべてのソース] ドロップダウンリストから [組み込み] を選択して、DSC が提供する組み込み識別モデルを表示します。
表示したい識別モデルの名前を検索ボックスに入力し、
アイコンをクリックして識別モデルに関する情報を表示できます。
必要な識別モデルを見つけて、[アクション] 列の [詳細] をクリックして、識別モデルの識別ルールと識別しきい値を確認します。
識別特徴をコピーして [識別特徴] タブに移動し、識別特徴に関する情報を表示できます。詳細については、このトピックの「組み込み識別特徴」セクションをご参照ください。
組み込み識別特徴
Data Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、を選択します。
[識別特徴] タブをクリックし、[ソース] ドロップダウンリストから [組み込み] を選択して、DSC が提供する組み込み識別特徴を表示します。
表示したい識別特徴のキーワードを検索ボックスに入力し、
アイコンをクリックして識別特徴に関する情報を表示できます。
カスタム識別モデルと識別特徴の作成
カスタム識別モデル
カスタム識別モデルの直接作成
[識別モデル] タブで、[作成] をクリックします。
[作成] パネルで、パラメーターを設定し、[OK] をクリックします。
カテゴリ
パラメーター
説明
基本情報
モデル名
カスタム識別モデルの名前を入力します。
モデルの説明
このパラメーターはオプションです。カスタム識別モデルの説明を入力します。
タグ
このパラメーターはオプションです。カスタム識別モデルに追加するタグを選択します。カスタム識別モデルに [個人機密情報]、[個人情報]、または [一般情報] タグを追加できます。
データカテゴリ
このパラメーターはオプションです。ドロップダウンリストから、カスタム識別モデルの識別テンプレート、機密データカテゴリ、および感度レベルを選択します。
カスタム識別テンプレートのみを選択できます。詳細については、このトピックの「カスタム識別テンプレートの作成」セクションをご参照ください。
モデルルール
識別特徴
ドロップダウンリストから、カスタム識別モデルで使用する識別特徴を選択します。
組み込み識別特徴またはカスタム識別特徴を選択できます。
複数の識別特徴を選択できます。特徴は OR 論理演算子を使用して評価されます。
識別範囲
このパラメーターはオプションです。ドロップダウンリストから、カスタム識別モデルを有効にする資産タイプを選択します。デフォルトでは、DSC がアクセスを許可され、接続できる資産のタイプを選択できます。
複数の資産タイプを選択できます。資産タイプは OR 論理演算子を使用して評価されます。
詳細設定
このパラメーターはオプションです。機密データ識別のより正確な範囲を設定するには、詳細設定を構成できます。手順:
ドロップダウンリストから資産タイプを選択します。
[識別範囲] パラメーターで選択した資産タイプのみを選択できます。複数の資産タイプを設定するには、
アイコンをクリックします。異なる条件に対して論理演算子を選択します。有効な値: [AND] および [OR]。複数の条件グループを設定するには、[グループの作成] をクリックします。追加された条件グループは、最初の条件グループのサブセットです。
識別条件を設定します。複数の識別条件を追加するには、[条件の追加] をクリックします。
識別しきい値
最小ヒット数 (非構造化データ)
OSS の単一オブジェクトに対してヒットした識別特徴の数の最小しきい値を指定します。
最小しきい値に達した場合、オブジェクトはモデルで定義された機密データを満たします。
たとえば、最小しきい値が 1 で、ファイルが識別モデルの 1 つの特徴にヒットした場合、そのファイルは指定されたタイプと感度レベルの機密データとして識別されます。
ヒット率 (構造化データ)
ApsaraDB RDS などの構造化データのヒット率を指定します。
200 のデータサンプルの中でヒットした割合がヒット率を満たす場合、データは機密として分類されます。
たとえば、ヒット率が 50% で、列内の 100 のデータエントリが識別モデルを満たす場合、その列は指定されたタイプと感度レベルの機密データとして識別されます。
サブモデルを作成してカスタム識別モデルを作成する
[識別モデル] タブで、管理する組み込みまたはカスタムの識別モデルを見つけ、[アクション] 列の [サブモデルの作成] をクリックします。
[サブモデルの作成] パネルで、パラメーターを設定し、[OK] をクリックします。
[モデル] および [識別特徴] パラメーターは変更できません。[補完的な特徴] を追加できます。その他のパラメーターの詳細については、このトピックの「カスタム識別モデルの直接作成」セクションをご参照ください。
説明選択したカスタム識別モデルがサブモデルの場合、カスタム識別モデルの [モデル] および [識別特徴] パラメーターは変更されません。
カスタム識別特徴
[識別モデル] タブで、[特徴の追加] をクリックします。
[特徴の追加] パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
特徴名
カスタム識別特徴の名前。
一致項目
以下の一致タイプがサポートされています。
ルール一致: 特徴ルールを設定します。[ルールの追加] をクリックして、複数の特徴ルールを追加できます。特徴ルールは、[AND] または [OR] 論理演算子を使用して評価できます。
[例外ルール] を選択した場合は、[ルールの追加] をクリックして複数の例外ルールを追加できます。例外ルールは、[AND] または [OR] 論理演算子を使用して評価できます。
識別特徴は、特徴ルールを満たすが例外ルールを満たさないデータを検出します。
辞書一致: キーワードを入力して Enter キーを押します。キーワードの長さは 1~128 文字です。複数のキーワードを設定できます。キーワードにカンマ (,) を含めることはできません。含めた場合、キーワードはカンマ (,) で区切られた 2 つ以上のキーワードと見なされます。あいまい一致がサポートされています。
データタイプ
識別したいデータのタイプ。有効な値: [構造化データ] および [非構造化データ]。
識別モデルの有効化または無効化
識別テンプレートを必要な識別タスクで有効にするには、識別テンプレート内の識別モデルを有効にする必要があります。デフォルトでは、組み込み識別テンプレート内の組み込み識別モデルは有効になっています。必要に応じて識別モデルを有効または無効にできます。
[識別モデル] タブで、有効または無効にしたい組み込みまたはカスタムの識別モデルを見つけ、[ステータス] 列の 
または 
アイコンをクリックします。
進行中の識別タスクは影響を受けません。ステータスの変更は、次回の識別タスクの実行時に有効になります。
組み込み識別テンプレートの詳細の表示
Data Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、を選択します。
[テンプレート管理] タブで、[テンプレートの設定] をクリックし、テンプレートリストで [タイプ] が [組み込み] の識別テンプレートを見つけます。
[アクション] 列の [表示] をクリックします。テンプレート内のすべての機密データカテゴリと識別モデルを表示できます。
感度レベル
説明
N/A
現在の識別テンプレートに含まれる機密情報は検出されません。
S1
非機密データ。ほとんどの場合、このタイプのデータが開示されても害はありません。例: 省、市、製品名。
S2
中程度の機密データ。このタイプのデータは開示に適していません。このタイプのデータが開示されると、低レベルの害が発生します。例: 名前、住所。
S3
高機密データ。このタイプのデータは感度レベルが高いです。このタイプのデータが少量開示されると、深刻な害が発生します。例: ID ドキュメント、アカウントのパスワード、データベース情報。
S4
コア機密データ。このタイプのデータは、いかなる状況でも開示してはなりません。例: 遺伝子、指紋、虹彩情報。
識別モデルの名前をコピーして [識別モデル] タブに移動し、識別モデルの識別特徴と識別しきい値を確認できます。詳細については、このトピックの「組み込み識別モデルと識別特徴の表示」セクションをご参照ください。
カスタム識別テンプレートの作成
カスタム識別テンプレートの作成
カスタム識別テンプレートの直接作成
[テンプレート管理] タブで [テンプレートの設定] をクリックし、[新しいテンプレート] をクリックします。
[新しいテンプレート] ページで、[基本情報] を設定し、[次へ] をクリックします。基本情報には、テンプレート名とテンプレートの説明が含まれます。
[テンプレートの設定] ステップを完了し、[OK] をクリックします。
機密データカテゴリを作成します。
[テンプレートノードの設定] セクションで、[カテゴリの作成] をクリックします。[カテゴリの作成] ダイアログボックスで、[カテゴリ] パラメーターを設定し、[OK] をクリックします。
カテゴリの横にある
アイコンをクリックし、[同レベルのカテゴリを追加] または [サブカテゴリの追加] をクリックして、機密データカテゴリを作成します。この操作を繰り返して、複数の機密データカテゴリを作成できます。
機密データカテゴリの識別モデルを追加します。次の手順を繰り返して、複数の識別モデルを追加できます。
機密データカテゴリの横にある
アイコンをクリックし、[作成] をクリックします。[作成] ダイアログボックスで、追加する識別モデルの横にあるチェックボックスをオンにし、[ステータス] 列の
をオンにして、[OK] をクリックします。データタグ、モデルタイプ、モデル名で識別モデルをフィルタリングできます。組み込み識別モデルまたはカスタム識別モデルを選択できます。
重要識別テンプレート内の識別モデルが有効になると、識別ルールは識別テンプレートを使用する識別タスクで有効になります。
識別テンプレートをコピーしてカスタム識別テンプレートを作成する
[テンプレート管理] タブで [テンプレートの設定] をクリックし、コピーする組み込みの識別テンプレートを見つけ、次に [操作] 列で [コピー] をクリックします。 または、コピーするカスタム識別テンプレートを見つけ、[操作] 列で
> [コピー] を選択します。[テンプレートのコピー] ダイアログボックスで、[テンプレート名] パラメーターのデフォルト値は
<元のテンプレート名>+copyです。[テンプレート名] を変更して [OK] をクリックできます。テンプレートを見つけて、[アクション] 列の [編集] をクリックします。次に、テンプレート名、機密データカテゴリ、および識別モデルを設定し、[OK] をクリックします。機密データカテゴリの名前の変更、機密データカテゴリの作成、および機密データカテゴリの削除ができます。識別モデルを追加または削除できます。
その他の操作
識別テンプレートの削除: カスタム識別テンプレートのみ削除できます。 組み込みの識別テンプレートは削除できません。 テンプレートを削除するには、[テンプレートの設定] をクリックし、削除するテンプレートを見つけ、[操作] 列の
アイコンをクリックし、次に [削除] をクリックします。 テンプレートを削除すると、そのテンプレートに属するカスタム識別モデルも削除されます。 機密データカテゴリの管理:
カスタム識別テンプレートの機密データカテゴリのみを設定できます。組み込み識別テンプレートの機密データカテゴリは変更できません。機密データカテゴリを管理するには、[テンプレートの設定] をクリックし、管理するテンプレートを見つけて、[アクション] 列の [編集] をクリックします。次に、[次へ] をクリックします。[テンプレートノードの設定] セクションで、次の操作を実行します:
機密データカテゴリの作成: 既存の機密データカテゴリの横にある
アイコンをクリックし、[同レベルのカテゴリを追加] をクリックして機密データカテゴリを作成します。機密データカテゴリの名前の変更: 入力ボックスをクリックして、機密データカテゴリの名前を変更します。
機密データカテゴリの削除: 既存の機密データカテゴリの横にある
アイコンをクリックし、[削除] をクリックして機密データカテゴリを削除します。
識別テンプレートの識別モデルの管理:
組み込み識別テンプレートでは、識別モデルを有効または無効にすることしかできません。カスタム識別テンプレートの場合、[テンプレートノードの設定] セクションで次の操作を実行できます:
識別モデルの追加: 既存の機密データカテゴリの横にある
アイコンをクリックし、[作成] をクリックして識別モデルを追加します。識別モデルの削除: 既存の機密データカテゴリの横にある
アイコンをクリックし、削除する識別モデルを見つけて、
アイコンをクリックします。
識別テンプレートの感度レベルの設定
組み込み識別テンプレートの場合、感度レベルを作成または削除することはできません。感度レベルの説明のみを変更できます。
カスタム識別テンプレートの場合、感度レベルを作成、変更、および削除できます。
デフォルトでは、直接作成されたカスタム識別テンプレートには 10 の感度レベルが設定されています。S10 の感度レベルのみを削除できます。
識別テンプレートをコピーして作成されたカスタム識別テンプレートの場合、デフォルトの感度レベルはコピーされた識別テンプレートと同じです。デフォルトの感度レベルは削除できません。
カスタム識別テンプレートでは、最大 10 の感度レベルを設定できます。
[テンプレート管理] タブの [感度レベル設定] タブで、[変更中のテンプレート] パラメーターを設定します。次の操作を実行できます:
感度レベルの削除: 削除する感度レベルを見つけ、[アクション] 列の [削除] をクリックします。
感度レベルの作成: [カスタム感度レベルの設定] をクリックして感度レベルを作成します。
感度レベルの変更: 変更する感度レベルを見つけ、[アクション] 列の [編集] をクリックします。
識別テンプレートの使用
識別テンプレートの有効化
識別テンプレートが設定されていない場合、組み込みの [インターネット業界向けデータ分類テンプレート] が有効になり、メインテンプレートとして使用されます。識別タスクで別の識別テンプレートを使用する場合は、次の手順に従って組み込みまたはカスタムの識別テンプレートを有効にします。
最大 2 つの識別テンプレートを有効にできます。有効なテンプレートは [有効なテンプレート] セクションに表示されます。
[テンプレート管理] タブで [テンプレートの設定] をクリックします。テンプレートリストで、有効にする組み込みまたはカスタムの識別テンプレートを見つけます。
[ステータス] 列の
アイコンをクリックして、識別テンプレートを有効にします。ステータスが 
に変更されることを確認します。
メイン識別テンプレートの設定
有効な識別テンプレートのみをメイン識別テンプレートとして設定できます。メイン識別テンプレートを変更する前に、メイン識別テンプレートに関連付けられているすべての識別タスクが終了していることを確認してください。詳細については、「識別タスクの終了」をご参照ください。
デフォルト識別タスクで別の識別テンプレートを使用する場合は、メイン識別テンプレートを変更できます。
[テンプレート管理] タブで [テンプレートの設定] をクリックします。[有効なテンプレート] セクションで、[メイン識別テンプレート] として使用する識別テンプレートを見つけ、[メインテンプレート] をクリックします。
表示されるメッセージで、[続行] をクリックします。
変更が成功すると、識別テンプレートは [メインテンプレート] としてマークされ、選択不可になります。
次のステップ
識別タスクを作成するときに、有効な識別テンプレートを使用して、DSC がアクセスできる資産の機密データをスキャンできます。詳細については、「識別タスクを使用した機密データのスキャン」をご参照ください。