29 Enterprise Data Governanceの管理

この章では、Enterprise Data Governanceを紹介し、その機能を使用して機密データを保護する方法を説明します。この章の内容は以下のとおりです。

• Enterprise Data Governanceの概要

• Enterprise Data Governanceの使用

Enterprise Data Governanceの概要

この項では、Enterprise Data Governanceの概要について説明します。この項の内容は次のとおりです:

• Enterprise Data Governanceについて

• 保護ポリシーについて

• アプリケーション署名について

Enterprise Data Governanceについて

エンタープライズ・データ・ガバナンスでは、データ・センター内の機密データを識別、保護、管理および追跡するための包括的なソリューションが提供されます。このソリューションは、この保護を提供するための二又のアプローチが含まれます。

• 機密データが含まれる可能性のあるデータベースのユーザー開始の自動検出を定期的に実行します。これはメタデータの検出で、スキーマ、表および列名のパターンを含むメタデータのみを参照するため、浅いスキャンとも呼ばれます。

• メタデータ検出で識別されるデータベースの機密データのユーザー開始の検出を実行します。これはデータ検出で、実際のデータをドリル・ダウンして、ユーザー指定の機密タイプおよびオブジェクト・レベルの保護の詳細に一致するものを検索するため、ディープ・スキャンとも呼ばれます。

エンタープライズ・データ・ガバナンスでは、推奨されるワークフローの最初のステップを形成し、機密データをマスクします。

1. 機密データを含む可能性のあるデータベースを検出します。

2. データベース候補の検出結果により(それに限定されない)、機密データをさらに識別するためにデータベースの表および列内のデータにドリルダウンします。

3. この検出結果により、機密としてフラグ列にフラグを付け、アプリケーション・データ・モデル(ADM)のコンテキスト内で識別します。

4. ADM内でこれらの列を選択し、テスト環境でデータを保護するマスキング・フォーマットを適用します。

保護ポリシーとは

保護ポリシーの定義では、機密データ・オブジェクトを保護するためのセキュリティ・メカニズムを定義します。これは、機密データ・オブジェクトが保護される方法を制御します。機密オブジェクトのポリシーは、作成すると、同様のタイプおよび構造のすべての機密データ・オブジェクトに適用可能なテンプレートとして機能します。これにより、データベース・クラウド内の場所に関係なく、機密データ・オブジェクトは常に保護されます。

保護ポリシーは、Oracle Databaseで使用可能なセキュリティ機能にマップされます。メタデータ検出機能では、次のデータベース・セキュリティ機能の1つ以上で保護されるオブジェクトを含むデータベースを識別します。

• 透過的データ暗号化(TDE)–データベースへの書込み時にデータを自動的に暗号化し、データのアクセス時に自動的に復号化するデータベース機能。

• データ・リダクション–マスクされたバージョンのデータを非特権ユーザーに表示することでデータを保護するデータベース機能。マスクされたバージョンのデータは、データのフォーマットおよび参照整合性を保持するため、データを使用するアプリケーションは想定どおりに引き続き機能します。

• 仮想プライベート・データベース(VPD)–セキュリティ条件を使用してデータを保護し、行および列レベルでデータ・アクセスを強制するデータベース機能。

• Oracle Label Security (OLS)–データ分類を提供し、セキュリティ・ラベルを使用してアクセスを制御するデータベース機能。

メタデータ検出は、リストされる各セキュリティ機能に関してチェックします。ただし、スキャンでは、保護ポリシーの詳細は収集されず、必ずしもすべてのポリシーが考慮されるわけではありません。検出された保護ポリシーは、機密の可能性があるものとしてデータベースのフラグ付けに十分です。この戦略は、高速および軽量なスキャンを維持します。

アプリケーション署名とは

アプリケーション署名は、特定のアプリケーションを一意に識別するスキーマ、表、ビューなどのデータベース・オブジェクトのセットです。これらのオブジェクトを含むデータベースは、アプリケーションを含むものと想定され、機密データベースと候補として記載されています。Oracleでは、次のアプリケーションの署名を提供しています。

• Oracle E-Business Suite

• Oracle Fusion Applications

• Oracle PeopleSoft Enterprise

カスタム・アプリケーション署名を作成することもできます。カスタム・アプリケーション署名の作成を参照してください。

Enterprise Data Governanceの使用

この項の内容は次のとおりです。

• Enterprise Data Governanceダッシュボード

• 機密データベースの検出結果の処理

• メタデータ検出ジョブの処理

• データ検出ジョブの処理

• カスタム・アプリケーション署名の作成

Enterprise Data Governanceダッシュボード

Enterprise Data Governanceでは、機密データが含まれている可能性があるエンタープライズ内のデータベースを特定し、その候補にあるデータを評価して機密データが存在するかどうかを判別するための手段が提供されます。

Enterprise Data Governanceダッシュボードは、検出アクティビティのサマリーを表示し、次へのリンクを提供します。

• 機密検出ジョブの結果を確認します(機密データベースの検出結果の処理を参照)。

• メタデータ検出ジョブを管理および確認します(メタデータ検出ジョブの処理を参照)。

• データ検出ジョブを管理および確認します(データ検出ジョブの処理を参照)。

• アプリケーション署名を作成します(カスタム・アプリケーション署名の作成を参照)。

ダッシュボードから、アプリケーション・データ・モデル(ADM)環境および機密列タイプも管理できます。これらのアクティビティの詳細は、『Oracle Data Masking and Subsettingガイド』の第2章「アプリケーション・データ・モデル」を参照してください。

Cloud Controlコンソール内のダッシュボードに移動するには、「ターゲット」メニューで「データベース」を選択し、「セキュリティ」メニューで「Enterprise Data Governance」を選択します。ダッシュボードから移動するたびに、上部にある「Enterprise Data Governance」ブレッド・クラムを使用して戻ります。

機密データベースの検出結果の処理

「機密データベース検出サマリー」ページでは、次のタスクを実行できます。

• 機密データを持つとして検出されたデータベース、または機密データ候補と考えられるデータベースを確認します。

• メタデータ検出ジョブを作成します(メタデータ検出ジョブの作成を参照)。

• データ検出ジョブを作成します(データ検出ジョブの作成を参照)。

• メタデータ列の数字をクリックして、検出されたアイテムのポップアップ・リストを表示します。たとえば、データ保護列の数字をクリックして、どのデータ保護がデータベース候補に対して機能しているかを確認します。

• データベース名自体をクリックして、データベース・インスタンス・ホームページを開きます。

メタデータ検出ジョブの処理

「メタデータ検出ジョブ」ページでは、次のタスクを実行できます。

• メタデータ検出ジョブを作成します(メタデータ検出ジョブの作成を参照)。

• 自動メタデータ検出を管理します。

• ジョブの結果を管理します。

メタデータ検出ジョブは、スキーマ、表および列名のパターンでのみ検索し、データ自体では検索しないため、ジョブの実行に必要なデータベース資格証明はありません。

メタデータ検出ジョブの作成

データベース・メタデータをスキャンして機密データを含む可能性のある候補を検索するメタデータ検出ジョブを実行します。

メタデータ検出ジョブの作成には、次のステップが含まれます。

1. メタデータ検出ジョブの作成をクリックします。
2. 機密列タイプ、アプリケーション署名およびデータ保護の基準を設定します。

   機密列タイプの場合、行を選択し、「検索基準の表示」をクリックして、適用可能な基準(パターン一致、正規表現フォーマット、ブール条件など)を表示します。

   終了したら、「次へ」をクリックして続行します。

3. メタデータ検出を実行するターゲットを選択します。最初にターゲット・タイプを選択してから、「追加」をクリックして、指定したタイプからターゲットを選択します。ターゲット検索基準の一部として、構成検索ライブラリから検索を含めることができます。

   異なるタイプのターゲットを選択できません。あるタイプのターゲットを選択してから別のタイプのターゲットを選択した場合、最初に選択したタイプのターゲットは選択解除されます。

   終了したら、「選択」をクリックして選択ダイアログを閉じ、「次」をクリックして続行します。

4. ジョブをスケジュールします。意味のわかりやすい名前および説明を指定します。必要に応じて他のパラメータを設定します。メタデータ検出は、データベースの機密データを慎重にモニタリングするために、通常は繰り返し実行されるジョブであることに注意してください。

   終了したら、「発行」をクリックします。

5. ページの上部に確認メッセージが表示されます。リンクをクリックして、ジョブ・システムのジョブ詳細を表示します。メタデータ検出ジョブ・ページをリフレッシュして、完了したジョブを表示します。

自動メタデータの検出の管理

自動メタデータ検出は、ユーザーが開始するメタデータ検出と独立して行われ、ターゲット検出に直接関連付けます。デフォルトでは、ターゲット検出の一部としてデータベースが検出されるたびに、メタデータ検出ジョブがそのデータベースで実行されます。「自動メタデータ検出」ドロップダウン・メニューから「ターゲット検出中のメタデータ検出の無効化」を選択することにより、この機能を無効にできます。メタデータ検出ジョブをいつ実行するか、およびどのデータベースで実行するかの制御を強化する場合、この機能を無効にできます。この機能を無効にすると、メニュー選択はターゲット検出中にメタデータ検出を有効化に切り替わり、それにより、自動メタデータ検出を再開するオプションが表示されます。

この機能を保持するよう選択することもできますが、別の基準のセットが必要です。自動メタデータ検出の即時利用可能な基準では、Oracle定義の機密列タイプ、データ保護ポリシーおよびアプリケーション署名を使用しますが、デフォルト設定を変更し、ユーザー定義のエンティティを追加することもできます。自動メタデータ検出ドロップダウン・メニューから自動メタデータ検出パラメータの編集を選択して、基準を編集します。

メタデータの検出結果の管理

メタデータ検出ジョブの結果によって、どのデータベースに実際に機密データおよび機密性が含まれるかを確認できます。

メタデータ検出ジョブの結果を処理するには、次を実行します。

1. 表の上部にあるジョブを選択して、下部の検出結果を表示します。
2. 「表示」ドロップダウン・リストを使用して、評価されるすべてのデータベース、または機密データを持つデータベースのみ、または機密データを持たないデータベースのみを基にして、表示をフィルタ処理します。
3. 自動結果の詳細の表示をクリックして、指定した基準に基づいて一致するメタデータを表示します。
4. メタデータ列の数字をクリックして、検出されたアイテムのポップアップ・リストを表示します。たとえば、データ保護列の数字をクリックして、どのデータ保護がデータベース候補に対して機能しているかを確認します。
5. データベース名自体をクリックして、データベース・インスタンス・ホームページを開きます。

データ検出ジョブの処理

「データ検出ジョブ」ページでは、次のタスクを実行できます。

• データ検出ジョブの作成

• ジョブの結果を管理します

データ検出ジョブの作成

メタデータ検出ジョブで特定されたデータベース候補内の機密データを検索するデータ検出ジョブを実行します。

データ検出ジョブの作成には、次のステップが含まれます。

1. データ検出ジョブの作成をクリックします。
2. 検索アイコンをクリックして、データ検出を実行するデータベースの候補を選択します。ターゲット検索基準の一部として、構成検索ライブラリから検索を含めることができます。

   「選択」をクリックして選択ダイアログを閉じます。

3. 機密列タイプ、アプリケーション署名およびデータ保護の基準を設定します。

   機密列タイプの場合、指定した列の行を選択し、「検索基準の表示」をクリックして、適用可能な基準(パターン一致、正規表現フォーマット、ブール条件など)を表示します。適切なサンプル・サイズを構成すると思われる行数を設定します。空の表をスキャンするかどうかを示します。

   データは列を機密にするものであるということに基づいて、データ検出ジョブでは、空の表を無視します。ただし、列名やコメント・パターンなど、他の要素に基づいた検出検索で、空の表を含めることがあります。空の表はデータ値がない表として定義されますが、メタデータ検出ジョブでは、統計収集ジョブがまだ実行されていない場合、空ではない表を空としてレポートすることがあります。

   「次」をクリックします。

4. スキーマおよび表パラメータ(含めるまたは除外するもの)を指定します。パターン一致を使用して、検索の有効範囲を指定します。あるいは、いずれかまたは両方のエンティティのすべてを含めるよう選択できます。

   「次」をクリックします。

5. ジョブをスケジュールします。意味のわかりやすい名前および説明を指定します。データベースにアクセスするための資格証明を指定します。ジョブ・スケジュールを設定します。

   「発行」をクリックします。

6. ページの上部に確認メッセージが表示されます。リンクをクリックして、ジョブ・システムのジョブ詳細を表示します。データ検出ジョブ・ページをリフレッシュして、完了したジョブを表示します。

データの検出結果の管理

データ検出の結果を使用して、機密的な列を特定し、データベースをアプリケーション・データ・モデルに関連付けます。

データ検出ジョブの結果を処理するには、次を実行します。

1. ジョブ行のデータベース名のリンクをクリックして、データベース・インスタンス・ホームページを開きます。ジョブ・ステータスのリンクをクリックして、ジョブ・システムのジョブ・サマリー・ページを開きます。

2. オプションで、新規ADMまたは既存ADMのいずれかにデータベースを関連付けます。データ検出ジョブ行を選択し、アプリケーション・データ・モデルの割当てをクリックして、適切なオプションを選択します。

3. 表の上部にあるジョブを選択して、下部の検出結果を表示します。ジョブ基準のタブをクリックして、ジョブの結果を確認します。必要に応じてタブ・コンテンツを展開して、詳細にドリルダウンします。

4. 機密データ列タブをクリックして、機密列のデータの元および性質を表示します。示されているように、割り当てられたADMがある場合、行を選択し、「機密ステータスの設定」ドロップダウン・メニューからステータスを選択して、機密性ステータスをインタラクティブに設定できます。

   表の情報を使用して、列を機密として宣言する決定を通知します。たとえば、名前とデータの割合での両方の基準に一致するサンプル・データおよび列は、列の機密性の強力なインジケータとなります。

   データ検出ジョブに割り当てられたADMがない場合、機密性ステータスは無効になり、関連するスキーマがアプリケーションのかわりに表示されます。

5. アプリケーション署名タブをクリックして、アプリケーションを一意に識別するデータベース・オブジェクトを表示します。

6. データ保護ポリシーを使用したオブジェクトタブをクリックして、サポートされた保護ポリシーによって保護されている、ジョブが検出した特定のオブジェクトを表示します。

   検出されたオブジェクトで、機密列ステータスを次のように設定します。

   1. 機密列の選択をクリックします。

   2. ジョブによって検出されたデータベースにログインするための資格証明を指定します。

   3. 列のリスト・ボタンをクリックして、保護ポリシーの対象となる表内のすべての列を表示します。

   4. ステータスを機密に設定し、アプリケーション内で機密とみなされている列に対して関連付けられている機密列タイプを選択します。

   5. 選択内容の確認が終了したら、「OK」をクリックします。

   選択された列は、割当て済のADM内で機密と識別されます。

   データ検出ジョブに割り当てられたADMがない場合、機密ステータス機能は無効になり、関連するスキーマがアプリケーションのかわりに表示されます。

カスタム・アプリケーション署名の作成

企業内の機密データ検出が容易になるように、アプリケーション署名をカスタマイズします。

カスタム・アプリケーション署名の作成では、次のステップを実行します。

1. Enterprise Data Governanceダッシュボードから、アプリケーション署名リンクを開きます。

   「作成」をクリックします。エディタ・ページが開きます。

2. 名前および説明(オプション)を指定します。
3. 「追加」をクリックし、使用可能なオブジェクトから選択して、署名に含めます。これらのオブジェクト・タイプのいずれかに指定された名前を明示的に指定することも、パターン(HR%など)を使用して指定することもできます。

   • スキーマ - スキーマ名は必須です。

   • 表 - スキーマ名はオプションです。表名は必須です。

   • ビュー - スキーマ名はオプションです。ビュー名は必須です。

   「OK」をクリックします。オブジェクトが表に表示されます。

4. 署名に追加のオブジェクトを含める場合は、ステップ3を繰り返します。すべての署名オブジェクトが、一致するようにデータベースで検出される必要があることに注意してください。
5. 終了したら、「OK」をクリックして、署名の定義を完了します。

   エディタ・ウィンドウが閉じ、アプリケーション署名ページの表に署名が表示されます。メタデータ検出ジョブおよびデータ検出ジョブの検索基準として、署名を使用できるようになります。