この章は、Oracle Data Masking and Subsettingをインストールして使用する前に、考慮する必要のある前提条件およびその他の重要事項を準備するのに役立ちます。
前提条件
Oracle Data Masking and Subsettingユーザー・インタフェース・ページを管理および参照するために、Oracle Enterprise Managerのリポジトリに関する次の権限をユーザーに割り当てる必要があります。
DB_MASK_ADMIN: Oracle Enterprise Managerのデータ・マスキング機能の管理および使用。
DB_ADM_ADMIN: Oracle Enterprise Managerのアプリケーション・データ・モデルの管理および使用
DB_SUBSET_ADMIN: Oracle Enterprise Managerのデータ・サブセッティング機能の管理および使用
デフォルトでは、Enterprise Manager管理者は、次の主要Oracle Data Management and Subsettingページにアクセスできます。
アプリケーション・データ・モデル
データ・サブセット定義
データ・マスキング定義
データ・マスキングのフォーマット
これは、PUBLICロールに含まれるTDM_ACCESS権限に基づいています。スーパー管理者は、指定した管理者の権限を取り消すことができるため、TDMのページへのアクセスを制限できます。権限がない場合、個々のメニュー項目はCloud Controlコンソールに表示されません。
また、Enterprise Managerには、スーパー管理者および管理者がTDMオブジェクトへのアクセスを認可ユーザーのみに制限できる権限アクセス・モデルが用意されています。このモデルでは、選択したユーザーにオペレータおよびデザイナ権限を付与できます。
オペレータ権限
付与されたこれらのオペレータ権限では、データ・マスキングおよびサブセット化の操作を実行できます。権限は、アプリケーション・データ・モデル(ADM)、データ・サブセット化定義およびデータ・マスキング定義で、TDMプロジェクトに付与できます。オペレータ権限では、これらのオブジェクトを編集および削除できません。
ADM: オペレータ権限を持つユーザー(スーパー管理者以外)はADMを表示できますが、編集および削除することはできず、プロパティを表示することもできません。これを行うための「編集」アイコン、「削除」アイコン、および「プロパティ」メニューは無効になります。さらに、検証ジョブの作成・ページの同期オプションは無効になります。
データ・サブセット定義: オペレータ権限を持つユーザー(スーパーDSD管理者以外)は、サブセット定義を表示できますが、編集および削除することはできません。これを行うための「編集」アイコンおよび「削除」アイコンは無効になります。
データ・サブセット定義オペレータ権限を持つユーザーは、データ・サブセット定義の編集および削除以外の操作を実行することができ、次の操作を実行する権限を持ちます。
データ・サブセット定義を表示します。
データ・サブセットを作成してファイルをエクスポートします。
データベースにデータ・サブセットを作成します。
サブセット・スクリプトを保存します。
データ・マスキング定義: データ・マスキング定義オペレータ権限を持つユーザーは、データ・マスキング定義の編集および削除以外の操作を実行することができ、次の操作を実行する権限を持ちます。
データ・マスキング定義を表示します。
データ・マスキング・スクリプトを生成します。
データ・マスキング・ジョブをスケジュールします。
データ・マスキング定義をエクスポートします。
デザイナ権限
デザイナ権限を付与されたユーザーは、TDMオブジェクトを拡張、変更および管理できます。これらのユーザーは、オペレータおよびデザイナ権限を他のユーザーに付与したり取り消すこともできます。デザイナの権限は、TDMオブジェクト上の対応するオペレータ権限を意味します。
ADM: デザイナ権限を持つユーザーは、削除も含め、ADMでのすべての操作を実行できます。
データ・サブセット定義: デザイナ権限を持つユーザーは、削除も含め、サブセット定義でのすべての操作を実行できます。
データ・マスキング定義: デザイナ権限を持つユーザーは、削除も含め、マスキング定義でのすべての操作を実行できます。
この項では、アプリケーション・データ・モデル、データ・マスキング定義およびデータ・サブセッティング定義に関する権限の付与のための手順を説明します。
データ・モデル、マスキングおよびサブセッティング定義などのOracle Data Masking and Subsettingオブジェクトが使用する記憶領域はごく少量ですが、一定期間にわたって保存されるデータの量に応じて、Oracle Enterprise Managerのリポジトリ・データベースへの追加の記憶領域の割当てが必要になる場合があります。
この項では、マスキングおよびサブセッティングのための記憶域の推奨事項を詳しく説明します。
インデータベース・マスキング: ユーザー表領域に3Xの追加領域(Xは、サイズが最大の表)、一時表領域に2Xの追加領域
インエクスポート・マスキング: ユーザー表領域に2Xの追加領域(Xは、サイズが最大の表)、一時表領域に2Xの追加領域。生成されたエクスポート・ダンプ・ファイルを格納するための十分なディスク領域
インデータベース・サブセッティング: ユーザー表領域に2Xの追加領域(Xは、サイズが最大の表)、一時表領域に2Xの追加領域
インエクスポート・サブセッティング: ユーザー表領域にXの追加領域(Xは、サイズが最大の表)。生成されたダンプ・ファイルを格納するための十分な領域
注意:
統合されたマスキングおよびサブセッティングの推奨記憶域要件は、前述のマスキングおよびサブセッティングの記憶域要件の合計です。
テスト情報をマスキングするとデータが誤って漏れるのを防止できるため、データのマスキングはビジネス・セキュリティの観点から見て賢明な予防策です。多くの場合、データのマスキングは法律上の義務です。Enterprise Manager Data Masking Packを使用すると、組織では法律上の義務を満たし、サーベンス・オクスリー法、カリフォルニア州データベース機密保護違反通知法(CA上院法案1386)、欧州連合データ保護指令のようなグローバルな規制基準に応じることができます。
法的必要条件は国によって異なりますが、個人的な消費者情報の機密性および整合性を保護するためのなんらかの形態の規制が現在ではほとんどの国に存在しています。たとえば、米国の場合、財務プライバシ権法(1978年)により財務レコードに対する第4修正条項の法的保護が策定され、これを必要とする州法は多数あります。同様に、米国における医療保険の相互運用性と説明責任に関する法令(US Health Insurance Portability and Accountability Act: HIPAA)では、個人医療情報の保護が策定されています。
サポートされているデータ型のリストは、リリースによって異なります。
Grid Control 10gリリース5(10.2.0.5)、Database 11gリリース2(11.2)、およびCloud Control 12cリリース1(12.1.0.1)およびリリース2(12.1.0.2)
数値型
次の数値型では、「配列リスト」、「削除」、「固定数値」、「NULL値」、「後処理関数」、「元のデータの保持」、「ランダム小数」、「ランダム数値」、「シャッフル」、「SQL式」、「置換」、「表の列」、「切捨て」、「暗号化」、「ユーザー定義関数」マスキング・フォーマットを使用できます。
NUMBER
FLOAT
RAW
BINARY_FLOAT
BINARY_DOUBLE
文字列型
次の文字列型では、「配列リスト」、「削除」、「固定数値」、「固定文字列」、「NULL値」、「後処理関数」、「元のデータの保持」、「ランダム小数」、「ランダム桁数」、「ランダム数値」、「ランダム文字列」、「シャッフル」、「SQL式」、「置換」、「部分文字列」、「表の列」、「切捨て」、「暗号化」、「ユーザー定義関数」マスキング・フォーマットを使用できます。
CHAR
NCHAR
VARCHAR2
NVARCHAR2
日付型
次の日付型では、「配列リスト」、「削除」、「NULL値」、「後処理関数」、「元のデータの保持」、「ランダム日付」、「シャッフル」、「SQL式」、「置換」、「表の列」、「切捨て」、「暗号化」、「ユーザー定義関数」マスキング・フォーマットを使用できます。
DATE
TIMESTAMP
Grid Control 11gリリース1(11.1)およびCloud Control 12cリリース1(12.1.0.1)およびリリース2(12.1.0.2)
ラージ・オブジェクト(LOB)・データ型
次のデータ型では、「固定数値」、「固定文字列」、「NULL値」、「正規表現」およびSQL式のマスキング・フォーマットを使用できます。
BLOB
CLOB
NCLOB