セキュア・テスト・データ管理では、Enterprise Managerに、機密データ検出、データ・サブセッティング、データ・マスキングなどの操作を有効にする機能が提供されます。これらの機能により、アプリケーション・データ・モデル(ADM)内に組み込まれた機密データのスキャンおよびタグ付けと、データ関係のモデリングが可能です。テスト・データ管理機能を使用するには、Oracle Data Masking and Subsetting Packライセンスが必要です。
次の図は、アプリケーション・データ・モデルに関連するワークフローを示しています。
図3-1 アプリケーション・データ・モデル
ADMには、アプリケーションのリスト、表およびデータ・ディクショナリで宣言される表の列、アプリケーションのメタデータからインポートされる表の列またはユーザー指定の表の列の関係が格納されています。ADMは、機密データのタイプとそれに関連付けられた列を保持し、データ・サブセット化やデータ・マスキングなどのテスト・データ操作によって使用され、テスト・データを安全に生成します。ADMの作成は、データ・サブセット化およびデータ・マスキング操作の前提となります。
次の図は、アプリケーション・データ・モデルと他のテスト・データ管理コンポーネント、本番環境およびテスト環境との関係を示しています。
この章で説明する次のタスクを含むアプリケーション・データ・モデルに関連する複数のタスクを実行できます。
注意:
この章で説明する手順は、Oracle Enterprise Manager Cloud Control 12.1以上のみに適用されます。
関連項目:
データのサブセット化の詳細は、「データ・サブセット化」を参照してください
データ・マスキングの詳細は、「機密データのマスキング」を参照してください
ターゲット権限(すべてのターゲットに適用可能):
表示可能な任意のターゲットに接続
任意の場所でのコマンドの実行
任意のターゲットの表示
リソース権限:
ジョブ・システム
名前付き資格証明
Oracle Data Masking and Subsettingのリソース権限
注意:
Enterprise Manager Cloud ControlユーザーのためのEM_ALL_OPERATOR
権限には、前述のすべての権限が含まれています。
データベース・ユーザーのSELECT_CATALOG_ROLE
データベース・ユーザーのSelect Any Dictionary権限
注意:
アプリケーション・データ・モデルを作成すると、PL/SQLメタデータ・コレクション・パッケージが自動的にターゲット・データベースにデプロイされます。パッケージを自動デプロイするデータベース・ユーザーには、DBA権限が必要です。
すべての必要なパッケージがデプロイされるように、高権限のユーザーを使用して初回のアプリケーション・データ・モデルを作成することをお薦めします。その後、他のすべてのアプリケーション・データ・モデルは、低権限のユーザーを使用して作成できます。
機密列を検出するには:
「アプリケーション・データ・モデリング」ページで、作成したモデルを選択し、「編集」をクリックします。
「アプリケーションおよびオブジェクト」サブページに、メタデータ収集プロセス中に検出されたアプリケーションおよびオブジェクトが表示されます。アプリケーションの表を表示するには、展開(>)アイコンをクリックします。
「機密列」タブから、「アクション」メニューを開き、「機密列検出ジョブの作成」を選択します。
「パラメータ」ポップアップが表示されます。
アプリケーションおよび機密列タイプを選択します。
選択した機密列タイプは、タイプに一致する列を検索するように各アプリケーションで処理されます。
「続行」をクリックします。
スケジュール・ポップアップ・ウィンドウが表示されます。
必要な情報を指定し、ジョブをスケジュールし、終了したら「発行」をクリックします。
「機密列」サブページが表示されます。
「保存して戻る」をクリックし、「アプリケーション・データ・モデリング」ホームページに戻ります。
機密列タイプの変更
機密列タイプを変更するには:
「アプリケーション・データ・モデリング」ページで、作成したモデルを選択し、「編集」をクリックします。
「アプリケーションおよびオブジェクト」サブページに、メタデータ収集プロセス中に検出されたアプリケーションおよびオブジェクトが表示されます。アプリケーションの表を表示するには、展開(>)アイコンをクリックします。
このビューにすでに識別された機密列が表示されます。
タイプを変更する機密列を選択します。
「アクション」メニューを開き、「機密列タイプの設定」を選択します。
「機密列タイプの設定」ポップアップ・ウィンドウが表示されます。
新しいタイプを選択して「OK」をクリックします。
検出結果の機密ステータスを設定するには:
「最新のジョブ・ステータス」列にジョブが成功したと表示されたら、ADMを選択して「編集」をクリックします。
「機密列」タブを選択し、「検出」、「結果」の順にクリックし、ジョブの結果を表示します。
任意の列の機密列を設定するには、定義する列の行を選択し、「ステータスの設定」メニューを開き、「機密」または「機密ではありません」を選択します。
「OK」をクリックして保存し、「機密列」タブに戻ります。
これで、前のステップで定義した機密列がリストに表示されます。
「保存して戻る」をクリックし、「アプリケーション・データ・モデリング」ページに戻ります。
正常にADMを作成した後、次のタスクとして、新しい機密列タイプまたは既存のタイプに基づいた機密列タイプを作成します。
機密列タイプを作成するには:
「アプリケーション・データ・モデル」ページの「アクション」メニューから「機密列タイプ」を選択します。
「機密列タイプ」ページが表示されます。
「作成」をクリックします。
「機密列タイプの作成」ポップアップが表示されます。
「列名」、「列のコメント」および「列データ」検索パターンに必要な名前および正規表現を指定します。
Or検索タイプは、パターンのいずれかが、候補の機密列と一致することを意味します。
And検索タイプは、すべてのパターンが候補の機密列に一致する必要があることを意味します。
これらのパラメータのいずれにも式を指定しない場合、システムはエンティティの検索を行いません。
「OK」をクリックします。
「機密列タイプ」ページの表に機密列が表示されます。
既存のタイプに基づいて機密列タイプを作成するには:
「アプリケーション・データ・モデル」ページの「アクション」メニューから、「機密列タイプ」を選択します。
「機密列タイプ」ページが表示されます。
すでに定義済の機密列タイプを選択するか、または製品が提供する即時利用可能なタイプから選択します。
「類似作成」をクリックします。
「機密列タイプの作成」ポップアップが表示されます。
必要な名前を指定して、「列名」、「列のコメント」および「列データ」検索パターンの既存の式を必要に応じて変更します。
「OK」をクリックします。
「機密列タイプ」ページの表に機密列が表示されます。
アプリケーション・データ・モデル(ADM)を作成した後、次の手順に従って、ADMに関連付ける追加のデータベースを選択できます。ADMの作成方法の詳細は、「ADMの作成」を参照してください。
データベースをADMに関連付けるには:
アプリケーション・データ・モデル・ページからADMを選択し、「アクション」、「関連データベース」の順に選択します。
このダイアログには、このADMに関連付けられたすべてのデータベースおよびデータベースごとの各アプリケーションに割り当てられたスキーマがリストされます。サブセット化の実行時にデータソースを選択する追加のデータベースおよびマスキング中にマスクするデータベースを追加できます。
「追加」をクリックして、ポップアップからデータベースを選択します。
選択したデータベースが「関連データベース」ダイアログの「データベース」セクションに表示されます。
スキーマを変更するには、左側の関連データベース、スキーマを変更する右側のアプリケーションの順に選択し、「スキーマの選択」をクリックします。
ポップアップのリストから不足しているスキーマを選択して、「選択」をクリックします。
無効ステータス: ソース・データベースを検証して、データ・ディクショナリで検出された内容でアプリケーション・データ・モデルの参照関係を更新し、アプリケーション・データ・モデルの各項目にデータベースに対応するオブジェクトがあるかどうかも確認します。
検証が必要ステータス: オラクルで用意しているテンプレートがインポートされているので、使用する前にADMを確認する必要があります。これはデータ・ディクショナリからの必要な参照関係がADMにプルされたことを確認するために必要です。
アップグレードが必要ステータス: 12c以前のマスキング定義がインポートされているので、ADMをアップグレードする必要があります。
ソース・データベースを検証するには:
無効ステータスを示す検証するADMを選択します。
「アクション」メニューから、「検証」を選択します。
無効ステータスのソース・データベースを選択して、検証ジョブの作成をクリックします。
検証ジョブの作成ポップアップでジョブ・パラメータを指定して、「発行」をクリックします。
ジョブが正常に完了した後、ソース・データベースをクリックして、リストされているオブジェクトの問題を確認します。
オブジェクトの問題を解決し、検証ジョブを再実行して、ソース・データベース・ステータスが有効であることを確認します。
後で新しいリポジトリにインポートできるADMをエクスポートすることによって、アプリケーション・データ・モデル(ADM)を、異なるリポジトリを使用する他のEnterprise Manager環境で共有できます。
エクスポートしたADMは、定義によりインポートに必要なXMLファイル形式です。インポートの前にエクスポートしたADM XMLファイルを編集できます。後続のインポートにADMをエクスポートする場合、ほとんどまたはすべての機能(アプリケーション、表、表タイプ、参照関係、機密列)を使用するADMを持つことが最適です。このため、インポートの前にエクスポートしたファイルを編集する場合、必要なXMLタグおよびファイルで属する場所がわかります。
注意:
ADMのエクスポートおよびインポート操作をリモートで実行またはスクリプト化する場合に、これらの操作を実行するためのEMCLI動詞があります。
次の2つのインポートの方法があります。
デスクトップからのADM XMLファイルのインポート
ソフトウェア・ライブラリからのADM XMLファイルのインポート
デスクトップからADM XMLファイルをインポートするには、次の手順に従います。
「アプリケーション・データ・モデル」ページで、インポートするADMを選択します。
「アクション」メニューから「インポート」を選択し、次に「デスクトップのファイル」を選択します。
表示されたポップアップで、ADMの名前、ADMに割り当てるソース・データベースおよびADMをインポートするデスクトップの場所を指定します。
「OK」をクリックします。
アプリケーション・データ・モデル・ページにADMが表示されます。
ソフトウェア・ライブラリからADM XMLファイルをインポートするには、次の手順に従います。
ADMのインポート後、機密列を検出したり、検証ジョブを実行したい場合があります。これらのタスクを実行する間、PL/SQLのメタデータのコレクション・パッケージがターゲット・データベースに自動的にデプロイされます。パッケージを自動デプロイするデータベース・ユーザーには、DBA権限が必要です。
次の3つのインポートの方法があります。
デスクトップへの選択したADMのエクスポート
ソフトウェア・ライブラリからのADMのエクスポート
TSDPカタログへのADMのエクスポート
XMLファイルとしてADMをデスクトップにエクスポートするには、次の手順に従います。
アプリケーション・データ・モデル・ページから、エクスポートするADMを選択します。
「アクション」メニューから「エクスポート」を選択し、次に「選択されたアプリケーション・データ・モデル」を選択します。
表示されるファイル・ダウンロード・ポップアップで、「保存」をクリックします。
表示される「別名保存」ポップアップで、ファイルの場所にナビゲートし、「保存」をクリックします。
ADMがXMLファイルに変換され、デスクトップの指定された場所に表示されます。
ソフトウェア・ライブラリからADMをエクスポートするには、次の手順に従います。
「アクション」メニューから「エクスポート」を選択し、次に「ソフトウェア・ライブラリのファイル」を選択します。
「アクション」メニューから「エクスポート」を選択し、次に「ソフトウェア・ライブラリのファイル」を選択します。
表示されるソフトウェア・ライブラリからのファイルのエクスポート・ポップアップで、目的のADMを選択し、「エクスポート」をクリックします。
表示されるファイル・ダウンロード・ポップアップで、「保存」をクリックします。
表示される「別名保存」ポップアップで、ファイルの場所にナビゲートし、「保存」をクリックします。
ADMがXMLファイルに変換され、デスクトップの指定された場所に表示されます。
透過的機密データ保護(TSDP)カタログにADMをエクスポートするには、次の手順に従います。
TSDPの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。