Oracle Cloud Infrastructureドキュメント

マスキングのフォーマット

マスキング・フォーマットでは、データベース列のデータをマスクするロジックを定義します。 たとえば、シャッフル・マスキング・フォーマットで列の値がランダムにシャッフルされ、電子メール・アドレス・マスキング・フォーマットでは値がランダムな電子メール・アドレスに置換されます。 Oracle Data Safeには、一般的な機密データおよび個人データ(名前、国別識別子、クレジット・カード番号、電話番号、宗教など)をマスクするための包括的なマスキング・フォーマット・セットが用意されています。 特定の要件を満たすために、技術スキルを必要とせずに基本的なマスキング・フォーマットを使用して、新しいマスキング・フォーマットを簡単に作成できます。 これらのユーザー定義のマスキング・フォーマットは、今後の使用のためにOracle Data Safeライブラリに格納できます。

データ・マスキングの主要な側面の1つは、データのセマンティクスや構造を損なわずに、機密情報を架空のデータに置き換えることです。 マスクされたデータは、現実的で、Luhn検証などの特定のチェックを通過する必要があります。 たとえば、マスキングされるクレジット・カード番号は有効なクレジット・カード番号であるのみでなく、有効なVisa、Mastercard、American ExpressまたはDiscoverカード番号である必要があります。 このデータ整合性の維持に失敗すると、対応するアプリケーションが動作しなくなる場合があります。 事前定義済のマスキング・フォーマットによって、生成されたデータが共通の検証チェックに合格していることが確認されます。

データ・マスキングの一般的な用語は、次のとおりです:

  • 組合せ可能

    条件内で複数のマスキング・フォーマットを結合できます。

    たとえば、999-999という書式でデータを含む列をマスクするとします。9は数値を表します。 最初の3桁を固定3桁の数値で置換し、ハイフンを保持し、最後の3桁をいくつかのランダム桁で置換します。 想定したデータを生成するために、3つの基本的なマスキング・フォーマットを組み合せることができます: 固定数値、固定文字列、ランダム数値。次の例に示すとおりです。 これら3つのマスキング・フォーマットの出力は、678-333678-110678-656および678-999などのマスクされた値を生成するために連結されます。

    FIXED NUMBER 678
    FIXED STRING "-"
    RANDOM NUMBER [START:100 END: 999]
  • 一意性

    場合によっては、列内で生成されたマスク・データが一意である(同じ値を持つ行が2行ない)ことを確認してください。 一部のマスキング・フォーマットでは、生成されたデータの一意性が確保されます。 これは、一意性制約がある列をマスキングする場合に便利です。

  • 逆仕訳可

    逆仕訳可能マスキング技法を使用して、マスキングされたデータから元の列データを取得できます。 通常、データ・マスキングは、データを完全に置換し、1人が元のデータを取得できないようにすることを意味します。 ただし、元のデータを表示する場合があります。 可逆仕訳マスキングは、ビジネスにおいて、分析、レポート作成またはその他のビジネス処理を目的として、データを第三者にマスキングおよび送信する必要がある場合に役立ちます。 サード・パーティから処理済データを受信した後、元のデータを回復できます。

    関連項目:

    「確定的暗号化」(可逆的マスキングをサポートしています)。
  • 確定的

    大規模データベースまたは複数データベース環境におけるデータのマスキングの主要な要件の1つは、一部のデータを一貫してマスキングすることです。 つまり、特定の入力に対して、出力は常に同じである必要があります。 同時に、マスクされた出力を予測できないようにすることも必要です。 決定論的マスキングは、データベースおよびデータ・マスキング・ジョブ間で、指定された入力に対して一貫性のある出力を生成します。 複数のアプリケーション間でのデータの整合性を維持し、シングル・サインオン環境でのシステムの整合性を維持する場合に役立ちます。

    たとえば、人材管理アプリケーション、顧客関係管理アプリケーションおよび販売データ・ウェアハウスという3つのアプリケーションを検討してください。 これら3つのアプリケーションには、これらのアプリケーションで一貫してマスキングする必要がある EMPLOYEE_IDなどの主要な共通フィールドがあります。 決定論的マスキング方法をここで使用すると、一貫性を確保できます。

    別の例を考えてみましょう。 JoeとTomの2つの値が、確定的なマスキング手法を使用してHenryとPeterにマスキングされるとします。 この方法を別のデータベースで繰り返すと、BobとTom (存在する場合)が、LouiseとPeterに置き換わることがあります。 2回の実行では異なるデータが使用されていますが、Tomは常にPeterに置換されていることに注意してください。

    確定的暗号化、確定的置換、SQL式およびユーザー定義関数マスキング・フォーマットは、確定的マスキングをサポートします。