データ・マスキングについて
データ・マスキングによって、機密情報を表示する特定の必要性がないユーザーに対して機密情報のカテゴリを非表示にしたり、リダクションしたりするルールを定義できます。
クラウド・ガードは、通常であれば「問題」ページで問題の詳細および履歴に表示される機密情報にマスキング・ルールを適用します。
概要
機密情報へのアクセスをどの程度厳密に制限する必要があるかについては、国ごとに要件が異なります。クラウド・ガードのレポート・リージョンがホストされている国のデータ・プライバシに関する国別要件に法的に準拠する必要があります。レポート・リージョンを確認するには、レポート・リージョンの表示を参照してください。
クラウド・ガードのレポート・リージョンは、OCIホーム・リージョンとは異なります。
データ・マスキングによって、権限のないユーザーに対して機密問題情報を選択的にリダクションできます。その目的は、様々なカテゴリの情報の表示を、そのタイプの情報の表示を必要とする職務権限のあるユーザーのみに制限することです。各データ・マスキング・ルールでは、次に対してリダクションする機密問題情報のカテゴリを指定します:
- 特定のIAMユーザー・グループ
- クラウド・ガード・ターゲットの指定された組合せ。
また、データ・マスキング・ルールは2つのレベルで適用できます:
- グローバル - ルールはOCIテナンシ全体に適用されます。
- ターゲット - ルールは指定されたクラウド・ガード・ターゲットにのみ適用されます。
ベスト・プラクティスは、次のように様々なレベルでマスキング・ルールを定義することです:
- ターゲット - 最高の優先順位を持つルール。このレベルで様々なカテゴリの機密情報の表示を許可する管理ユーザーのIAMグループを設定し、様々なグループのユーザーの職務権限で表示する必要がないカテゴリのみをリダクションします。
- グローバル - 優先順位が最も低いルール。このレベルですべての機密問題情報をリダクションすることを検討してください。
異なるレベルでデータ・マスキング・ルールを適用する方法の詳細は、データ・マスキング・ルールの作成を参照してください。
同じレベルで競合しているマスキング・ルールの解決方法
特定のユーザーが複数のグループに属していることが確実な場合があります。また、2つ以上のグループに、それらのグループのリダクション対象の設定が競合しているマスキング・ルールが含まれることがあります。
同じレベルの競合: 同じレベル(グローバル、ターゲット)のルール間で競合が発生するのは、同じユーザーが2つのグループに属しており、それらのグループに対して同じレベルで定義されたマスキング・ルールが異なる方法でカテゴリをリダクションする場合です。1つのグループのルールは機密情報のカテゴリをリダクションしますが、他のグループのルールはそれをしません。このタイプの競合が発生すると、常により制限的なルールが優先され、そのユーザーのカテゴリがリダクションされます。
異なるレベルで競合しているマスキング・ルールの解決方法
データ・マスキング設計の目的は、下位レベルのデータ・マスキング・ルールを作成して、上位レベルのルールをオーバーライドできるようにすることです。そのため、グローバル・レベルのルールでは、すべてのユーザーに対してすべての機密情報IDをリダクションするように指定し、それより下位のレベルでは、選択したユーザーに対して選択したカテゴリをリダクションしないように指定します。
異なるレベルの競合: 異なるレベル(グローバル、サービス・タイプ、ターゲット)のルール間で競合が発生するのは、同じユーザーが2つのグループに属しており、それらのグループに対して異なるレベルで定義されたマスキング・ルールがカテゴリを異なる方法でリダクションする場合です(一方のグループは機密情報のカテゴリをリダクションしません)。このタイプの競合が発生すると、常に下位レベルでグループに割り当てられているルールが優先され、カテゴリがリダクションされるかどうかは、下位レベルのグループのルールによって決まります。
同じレベルのデータ・マスキング・ルールの競合は、異なるレベルの競合より前に解決されます。