エクスポート時のデータ・リダクション
個人を特定可能な情報(PII)は、アプリケーションの外にエクスポートされてファイルに書き込まれるときに特別な扱いが必要です。データベース・レベルで暗号化された情報は暗号化されたままであるため、エクスポート時に保護されます。暗号化されていない情報に関しては、保護を強化するために不明瞭化が必要かどうかは、エクスポートされたデータがどのような意図で使用されるかによって異なります。エクスポートされる情報が外部システムとの統合フローの一部である場合は、データは未変更のままにしておく必要があります。ただし、テスト目的で本番環境からデータをエクスポートする場合は、機密情報を匿名化する必要があり、これで下位の環境にインポートできるようになります。
-
リダクション・ルールは、特定のフィールドをエクスポート時にリダクションする方法を定義します。
-
リダクション・ルールが存在するときは、データ・リダクションはデフォルトで特定のエクスポート・ツールによって実行されます。リダクション・ルールが存在しない場合は、データは元の形式でエクスポートされます。
-
リダクション・ルールは顧客固有であり、機密データを含む環境に対してのみ意味を持つ可能性があります。そのため、基本製品とともにリリースされることはありません。データ・リダクションの要件を確認し、関連する環境内で適切なルールを構成してください。
-
特定のユーザーは、アプリケーションのセキュリティに基づいて、リダクションされていない形式でデータをエクスポートすることが許可されている場合があります。
次の各項では、このトピックに関する追加情報を示します。
リダクション・ルールは顧客固有
リダクション・ルールでは、どのフィールドをリダクションし、それらをどのように匿名化するかが指定されます。リダクションするフィールドのリストとその値の操作に使用する機能は顧客固有であり、したがって基本製品とともにリリースされることはありません。ルールのサンプル・セットは、参照用のアクセラレータ・データとしてのみ提供されます。
データ・リダクションの要件を確認し、ビジネス・ニーズを反映するルールを構成することが重要です。
デフォルトでのリダクション
エクスポート時のデータ・リダクションをサポートするプロセスは、リダクション・ルールが存在するときにデフォルトで実行されます。ルールが定義されていないときは、データはそのままの状態でエクスポートされます。このため、機密情報を含まない下位環境でこのようなルールを定義する必要はありません。
特定のエクスポート・ツールのみ
-
コンテンツ移行アシスタント(CMA)。アプリケーションのセキュリティに応じて、ユーザーは特定のデータ・セット・エクスポート要求に対して、データを元の形式でエクスポートするように指定できます。
-
一般データ・エクスポート(GDE)バッチ・プロセス。バッチ・パラメータを使用して、データを元の形式でエクスポートすることを明示的に要求できます。このオプションは、アプリケーションのセキュリティによっても保護され、バッチ発行時に適用されます。
注意: このタイプのプロセスによって単一のエクスポート・ストリームが確立され、これを複数のターゲットに送信できます。これらの統合をレビューして、競合するデータ・リダクション要件がないことを確認し、それに応じてバッチ・パラメータを設定してください。
様々なタイプのリダクション・ルール
機密情報は、様々なタイプの格納フィールドに存在する可能性があり、このことはその情報がリダクション対象であると指定する方法に影響を与えます。特定の表のフィールドを対象とするルールを定義することも、特定のフィールドのすべての参照に適用されるよりグローバルなルールを指定することもできます。
-
物理フィールド。このタイプのルールは、特定の表のフィールドに存在する値に適用されます。特定のタイプのレコードのみをリダクションする必要があるときに、オプションのフィルタ式を指定できます。
-
XML格納。このタイプのルールは、特定の表のXML格納フィールド内に存在する、指定されたフィールド名に関連付けられた値を適用します。このオプションは、フィルタ式もサポートします。
-
参照フィールド。このタイプのルールは、任意の場所に存在する、指定されたフィールド名に関連付けられている値に適用されます。これには、XML格納フィールドで参照されるフィールドは含まれません。
リダクション関数
リダクション関数は、どの形式で値を匿名化するかを定義するものです。使用される関数のタイプは、フィールドのデータ型によって異なります。たとえば、数値フィールドを匿名化するには、リダクション関数で数値のみを使用する必要があります。
使用可能な関数のリストは、「リダクション関数」拡張可能参照を参照してください。基本製品には一般的な関数のサンプルが用意されていますが、リストは必要に応じて拡張できます。
機密情報が含まれる可能性のあるフィールド
フィールド定義レコードには、そのフィールドに機密情報が含まれている可能性があるかどうかの指定が含まれています。この指定は、そのフィールドが実際にそのようなデータの取得に使用されることを意味するものではなく、この方法で使用される可能性があることを示すにすぎません。この指定は、リダクション・ルールに関連付ける必要がある可能性のあるフィールドを確認するために使用します。
リダクションされていないデータのエクスポートにはセキュリティ権限が必要
デフォルトでは、前述のエクスポート・ツールによって、既存のリダクション・ルールに基づいてデータがデフォルトでリダクションされます。状況によっては、特定のユーザーがデータを元の形式でエクスポートする、つまり、リダクション・ルールを適用しないよう要求することが許可される場合があります。
上の図の説明を簡潔にまとめると、次のようになります。
-
一部のプロセスでは、常にデータをそのままエクスポートします。つまり、ターゲット・コンシューマが未処理データを必要としています。これは、エクスポートを要求しているユーザーとは無関係です。
-
一部のプロセスでは、デフォルトでデータ・リダクションが実行されますが、データをそのままエクスポートするオプションが提供される場合があります。データを元の形式でエクスポートするオプションは、アプリケーション・セキュリティによって保護されます。
-
この例では、プロセスAはデフォルトでのデータ・リダクションをサポートしており、リダクションされていないデータをエクスポートするオプションもあります。ユーザーAには、データをリダクションして(デフォルト)エクスポートするか、元の形式でエクスポートするよう明示的に要求する権限があります。ユーザーBにはその権限がないため、エクスポートするコンテンツはデフォルトでリダクションされます。
-
コンテンツ移行アシスタントの場合は、追加のアクセス・モードは移行データ・セット・エクスポートのアプリケーション・サービスに関連付けられます。許可されているときは、ユーザーはエクスポート・データ・セット要求の作成時に、特別なリダクションしないエクスポートのオプションを選択できます。
-
GDEバッチ・プロセスの場合は、アクセス・モードはバッチ・プロセスのアプリケーション・サービスに関連付けられるとともに、バッチ・プロセスがサポートする「リダクション・ルールを適用しない」バッチ・パラメータに結び付けられます。適切なアプリケーション・セキュリティを持つユーザーのみが、特別なバッチ・パラメータ・オプションを使用してこれらのバッチを発行できます