すべてのプロダクト
Search

このプロダクト

    Data Security Center:セキュリティベースラインチェック

    ドキュメントセンター

    Data Security Center:セキュリティベースラインチェック

    最終更新日:Jan 10, 2025

    Data Security Center(DSC)は、データ資産の構成を動的にチェックします。たとえば、DSC は、Alibaba Cloud 上のデータベースの各構成項目(認証、アクセス制御、暗号化、バックアップ、リカバリ構成など)をチェックします。 DSC のセキュリティベースラインチェック機能は、チェックポリシーとチェック項目で構成されています。 セキュリティベースラインチェック機能は、Alibaba Cloud 上のデータベースの構成を継続的に監視するのに役立ちます。 このトピックでは、セキュリティベースラインチェック機能の概要と使用方法について説明します。

    前提条件

    • DSC Free Editionが有効になっているか、DSCの有料版が購入されています。 DSC Free Editionは特定のベースラインチェック項目をサポートしています。有料版はすべてのベースラインチェック項目をサポートしています。詳細については、「DSC Free Edition」および「DSCの購入」をご参照ください。

    • DSC がデータ資産にアクセスする権限を持っていること。 詳細については、「資産の承認」をご参照ください。

    セキュリティベースラインチェック機能について

    情報セキュリティ技術 - データセキュリティ能力成熟度モデル(GB/T 37988-2019)に準拠して、DSC は、[中国個人情報保護法(PIPL)][alibaba Cloud のデータセキュリティのベストプラクティス] というセキュリティベースラインをサポートしています。 前述のセキュリティベースラインは、クラウド内の複雑なデータベース環境、およびさまざまな種類の構造化データと非構造化データを対象としています。 DSC は、7 種類のチェックポリシーとチェック項目、種類とレベルごとの構成リスクの概要とリスト、および検出された構成リスクの処理方法に関する提案を提供します。 ポリシー[リスクガバナンス] > [構成リスク] ページの タブに実際に表示されるチェック項目が優先されます。 提案に基づいて、できるだけ早く構成リスクに対処することをお勧めします。 これは、データ資産のセキュリティを強化し、攻撃から資産を保護するのに役立ちます。

    セキュリティベースライン

    • [中国 PIPL]:PIPL に基づいて、個人情報とデータ資産のライフサイクル全体のセキュリティ監視を提供します。

      データ識別タスクによってスキャンされた個人情報または機密性の高い個人情報を含むデータベースインスタンスと Object Storage Service(OSS)バケットでベースラインチェックを実行できます。

    • [alibaba Cloud のデータセキュリティのベストプラクティス]:Alibaba Cloud のデータセキュリティのベストプラクティスに基づいて、データ資産のライフサイクル全体のセキュリティ監視を提供します。

      DSC がアクセスを承認されているデータベースインスタンスと OSS バケットでベースラインチェックを実行できます。

    チェックポリシー

    ポリシー

    説明

    ログ監査と監視

    データ処理のライフサイクル全体の記録と監視は、データ処理手順の監査可能性とトレーサビリティを確保するのに役立ちます。 データ資産には、ログ監査またはログストレージをお勧めします。

    このポリシーは、データベースでログ監査またはログストレージが有効になっているかどうかをチェックします。

    ID と権限の管理

    データのアクセスと使用には、最小権限の原則が適用されます。 承認されたユーザーのみがデータ資産にアクセスできます。

    このポリシーは、データベースに権限制御が実装されているかどうか、たとえば、標準アカウントがデータベースにログオンして日常的なタスクを実行する権限を持っているかどうかをチェックします。

    機密データの保護

    データ漏洩を防ぐために、機密データ資産には厳格なアクセス制御が必要です。

    このポリシーは、データベースでパブリックの読み取りと書き込みが許可されているかどうか、および機密データを含むプロジェクトにアクセス制御が実装されているかどうかをチェックします。

    説明

    このポリシーは、データ識別タスクによってスキャンされた個人情報または機密性の高い個人情報を含むデータベースインスタンスと OSS バケットにのみ有効です。

    データベースインスタンスと OSS バケットでデータのスキャンと検出を実行しない場合、またはスキャン結果に個人情報または機密性の高い個人情報が含まれていない場合、このポリシーのチェック項目はベースラインチェックに合格します。

    アクセス制御

    データ資産へのアクセスは、承認されたユーザーに制限する必要があります。 データ資産を公開することは避ける必要があります。

    このポリシーは、データベースがパブリックにアクセス可能かどうかをチェックします。

    データのバックアップとリカバリ:

    データ資産を定期的にバックアップおよび復元することは、データ資産の可用性と冗長性にとって有益です。

    このポリシーは、データベースでデータバックアップが有効になっているかどうかをチェックします。

    データストレージのセキュリティ

    暗号化などのデータストレージのセキュリティ対策は、保存データの機密性と整合性にとって重要です。

    このポリシーは、データベースで暗号化が有効になっているかどうかをチェックします。

    データ転送の暗号化

    暗号化などのデータ転送のセキュリティ対策は、転送データのセキュリティにとって重要です。

    このポリシーは、データベースのデータ転送が暗号化されているかどうかをチェックします。

    サポートされているデータ型

    セキュリティベースラインチェック機能は、DSC に接続されている Alibaba Cloud データベースの構成リスクのみをスキャンできます。 セキュリティベースラインチェック機能では、次の Alibaba Cloud データベースサービスがサポートされています。

    カテゴリ

    データベースエンジン

    リレーショナルデータベース

    RDS MySQL

    RDS SQL Server

    RDS PostgreSQL

    RDS MariaDB

    MySQL モードの ApsaraDB for OceanBase

    Oracle モードの ApsaraDB for OceanBase

    PolarDB-X 1.0

    PolarDB for MySQL

    PolarDB for PostgreSQL

    PolarDB for Oracle

    非リレーショナルデータベース

    MongoDB

    Redis

    ビッグデータ

    TableStore

    MaxCompute

    AnalyticDB for MySQL

    AnalyticDB for PostgreSQL

    非構造化データベース

    OSS

    チェックポリシーのチェック項目を有効または無効にする

    デフォルトでは、DSC コンソールでは、チェックポリシーのすべてのチェック項目が有効になっています。 ビジネス要件に基づいて、チェック項目を有効または無効にすることができます。

    1. DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、[リスクガバナンス] > [構成リスク] を選択します。

    3. [ポリシー] タブの [alibaba Cloud データセキュリティのベストプラクティス] タブまたは [PIPL ベースのセキュリティベースラインチェック] タブで、ベースラインチェックポリシーを表示します。

    4. チェックポリシーリストで、チェック項目を選択し、[ステータス] 列のスイッチをオンまたはオフにして、チェック項目を有効または無効にします。

      チェックポリシーを有効または無効にして、ポリシーのすべてのチェック項目を有効または無効にすることもできます。

      image.png

    チェックを実行する

    最後にチェックが実行された時刻を表示する。

    [ポリシー] タブで、[alibaba Cloud データセキュリティのベストプラクティス] タブまたは [PIPL ベースのセキュリティベースラインチェック] タブをクリックして、[最終チェック日時] パラメータの値を表示します。

    image.png

    自動的にチェックを実行する

    デフォルトでは、DSC は毎日約 01:00:00(UTC+8)に、DSC に接続されているデータベースのチェックを自動的に実行します。

    手動でチェックを実行する

    新しいデータ資産が DSC に接続された場合、またはデータベースの構成が変更された場合は、DSC コンソールで [再チェック] をクリックして、すぐにチェックを実行できます。 再チェックには約 10 分かかります。

    1. 左側のナビゲーションペインで、[リスクガバナンス] > [構成リスク] を選択します。

    2. [リスクトレンド] タブで、[アラート] タブをクリックし、必要なポリシーを見つけて、[アクション] 列の [詳細] をクリックします。

    3. [リスク状況] タブまたは [資産] タブで、[再チェック] をクリックして、チェック項目またはデータ資産に基づいて再チェックを実行します。

      image

    資産リスクのトレンドを表示する

    DSC は、セキュリティベースラインチェックと機密データ検出結果を統合して、さまざまな機密レベルのデータ資産のセキュリティリスク、個人データとプライベートデータのセキュリティリスク、リスクスキャンの進捗状況、および機密データ検出結果を表示するチャートを提供します。 この情報は、資産リスクのトレンドを把握するのに役立ちます。

    1. 左側のナビゲーションペインで、[リスクガバナンス] > [構成リスク] を選択します。

    2. [リスクトレンド] タブで、右側のドロップダウンリストからベースラインタイプを選択します。

    3. [資産リスク] タブで、次の情報を表示します。

      • データ資産の機密性の状況

        検出された高リスク資産、中リスク資産、および低リスク資産の数を表示する縦棒グラフ。

      • 機密データのセキュリティ状況

        機密性の高い個人情報、個人情報、および一般情報の検出された高リスク資産、中リスク資産、および低リスク資産の数を表示する縦棒グラフ。

      • リスクガバナンスの進捗状況

        • [進捗状況] 列に表示される数字は、合格したチェック項目の数と、各資産のチェック項目の合計数を示します。 たとえば、資産に 2/3 と表示されている場合は、その資産に合計 3 つのチェック項目が適用され、資産が 2 つのチェック項目に合格したことを意味します。 [完了] が [進捗状況] 列に表示されている場合は、資産が適用されたすべてのチェック項目に合格したことを意味します。

        • [リスクレベル] 列には、失敗したチェック項目のリスクレベルが表示されます。 失敗したチェック項目で複数のレベルのリスクが検出された場合は、最高レベルのリスクのみが表示されます。

    資産リスクを処理する

    DSC では、さまざまな観点から資産リスクを表示および処理できます。 さまざまなページで、さまざまな観点から資産リスクに関する情報を表示できます。 さまざまなページのリスクの詳細は一貫しています。 ビジネス要件に基づいて視点を選択できます。

    重要

    提案に基づいて、できるだけ早く構成リスクに対処することをお勧めします。 これは、データ漏洩やセキュリティイベントを防ぐのに役立ちます。

    資産の観点から

    資産の観点からリスクを表示するには、DSC コンソールに移動し、左側のナビゲーションペインで [リスクガバナンス] > [構成リスク] を選択し、[リスクトレンド] タブの [資産リスク] タブをクリックします。 DSC でスキャンできるデータセットのリストを表示できます。 このタブには、スキャン結果とリスク処理へのエントリも用意されています。

    1. 左側のナビゲーションペインで、[リスクガバナンス] > [構成リスク] を選択します。

    2. [リスクトレンド] タブの [資産リスク] タブで、構成リスクを処理します。

      • リスクを処理する

        DSC は、リスク処理の提案を提供します。 検出されたリスクを手動で処理する必要があります。 データ資産を選択し、[アクション] 列の [処理] をクリックして、失敗したチェック項目とリスク処理の提案を表示します。

        [リスクの詳細] セクションで、[処理] をクリックして、表示されるページでリスクを処理します。

        image.png

    • スキャンホワイトリストに資産を追加する

      セキュリティエンジニアの評価結果に従ってデータベースにセキュリティベースラインチェックが必要ない場合は、[アクション] 列の [ホワイトリストに追加] をクリックして、データベースに適用されるすべてのチェック項目をスキャンホワイトリストに追加できます。 資産をホワイトリストに追加すると、[完了] が [進捗状況] 列に表示されます。

    • データ資産に適用される特定のチェック項目をホワイトリストに追加する

      セキュリティエンジニアの評価結果に従ってデータベースに特定のチェック項目が必要ない場合は、[アクション] 列の [処理] をクリックします。 [リスクガバナンス] パネルで、チェック項目を選択し、チェック項目の右側にある [ホワイトリストに追加] をクリックします。 チェック項目をホワイトリストに追加すると、チェック項目に [ホワイトリストに追加済み] と表示されます。

    チェックポリシーの観点から

    チェックポリシーの観点からリスクを表示するには、DSC コンソールに移動し、左側のナビゲーションペインで [リスクガバナンス] > [構成リスク] を選択し、[リスクトレンド] タブの [アラート] タブをクリックします。 タブでさまざまなチェックポリシーを表示できます。 チェックポリシーの詳細ページでは、チェックポリシーのチェック項目と、チェック項目が適用される資産を表示できます。

    1. 左側のナビゲーションペインで、[リスクガバナンス] > [構成リスク] を選択します。

    2. [リスクトレンド] タブの [アラート] タブで、チェックポリシーリストを表示します。

      • [アラームの数] 列には、チェックポリシーのチェック項目に失敗した資産の数が表示されます。

      • [関連資産] 列には、チェックポリシーのチェック項目が適用される資産の数が表示されます。 各資産は、複数のチェック項目が適用される場合、複数回カウントされます。

    3. チェックポリシーを選択し、[アクション] 列の [詳細] をクリックします。

    4. [詳細] ページで、[リスク状況] タブと [資産] タブの情報を表示できます。

      • [リスク状況] タブには、チェックポリシーのすべてのチェック項目と各チェック項目の詳細(リスクのある資産の数、チェック項目が適用される資産の数、チェック項目のステータスなど)が表示されます。 チェック項目に基づいて再チェックを実行する場合は、[アクション] 列の [チェック] をクリックします。

      • [資産] タブには、チェックポリシーのすべてのチェック項目が適用される資産が表示されます。 チェック項目に基づいて資産を再スキャンしたり、資産をホワイトリストに追加したり、ホワイトリストから資産を削除したりできます。 [処理] をクリックしてリスクを処理することもできます。

    チェック項目の観点から

    チェックポリシーの観点からリスクを表示するには、DSC コンソールに移動し、左側のナビゲーションペインで [リスクガバナンス] > [構成リスク] を選択し、[ポリシー] タブをクリックします。 次の手順を実行して、チェック項目の詳細を表示できます。

    1. 表示するチェックポリシーを選択し、image.png アイコンをクリックして、チェックポリシーのチェック項目を表示します。

    2. 表示するチェック項目を選択し、[アクション] 列の [詳細] または [ホワイトリストの構成] をクリックして、[詳細] パネルでチェック項目が適用される資産を表示および管理します。

      次の操作を実行できます。

      • 資産にチェック項目が必要ないと確認した後、[アクション] 列の [ホワイトリストに追加] をクリックして、資産をチェック項目のホワイトリストに追加できます。

      • 資産を選択し、[アクション] 列の [処理] をクリックして、資産のリスクを処理します。

      • リスクを処理した後、[アクション] 列の [検証] をクリックして、リスクが処理されているかどうかを確認します。