機械翻訳トピック英語版に切り替えることができます。

この資料の最も正確で最新のバージョンについては、英語 (オリジナル) バージョンを参照してください。 IBM は、自動 (機械) 翻訳されたコンテンツの使用による損害または損失に対して責任を負いません。

Data Virtualizationにおけるデータ保護ルールによる仮想データの管理

最終更新: 2025年3月21日

Data Virtualizationにおけるデータ保護ルール

データ保護ルールを定義することにより、仮想データを管理できます。

始める前に

これらの手順は、以下の前提条件を完了していることを前提としています。

IBM Knowledge Catalog でデータ保護ルールを作成しました。詳細は、「データ保護ルールの管理」を参照してください。
データ保護ルール用のキャッシュ設定を構成した。詳細については、データ保護ルールにおけるPEPキャッシュ設定の構成 Data Virtualization をご覧ください。
データ保護ルールを適用したいオブジェクトを管理されたカタログに発行し、注釈を付けました。詳細については、仮想データをカタログに公開する Data Virtualization をご覧ください。

このタスクについて

データ保護規則では、アクセスを許可または拒否すること、データをマスクすること、仮想化されたデータの行をフィルタリングすることによって、制御するデータを指定します。

仮想化されたデータ資産をカタログに公開すると、定義されたデータ保護ルールに従うことになります。

IBM Knowledge Catalog Data Virtualization がと同じインスタンスにインストールされている場合、のデータ保護ルールの適用は常に有効になります。 Cloud Pak for Data IBM Knowledge Catalog

Data Virtualization では、以下の種類のデータ保護ルールを使用できます

注： Db2 は、RCAC（列マスクおよび行フィルタ）とは別に、権限（許可または拒否）を評価および適用します。一方、 IBM Knowledge Catalog は、適用可能なすべてのデータ保護ルール（権限とRCACの両方を含む）を評価し、単一の決定を下します。例えば、 IBM Knowledge Catalog 列のマスキングまたは行のフィルタリングルールが、Deny認証ルールに加えて適用される場合、 IBM Knowledge Catalog は「最も安全なアクションが優先される」というルールアクションの優先順位に従って認証を拒否します。これは、 Data Virtualization の認証リクエストが拒否され、RCACがカラムマスクや行フィルタを適用しないことを意味します。

データ・マスキング

データ・マスキングは機密データを非表示にするために使用されますが、ユーザーは資産を使用することができます。

詳細については、仮想データのマスキング Data Virtualization をご覧ください。

行レベルのフィルタリング

データ保護ルールを作成して、仮想化データに行を含めたり除外したりして、ユーザーが表示できる行を制限することができます。例えば、従業員が自分の部門に関連付けられている顧客データのみを表示できるようにルールを定義できます。

詳細については、行レベルでのフィルタリング Data Virtualization をご覧ください。

ガバナンスにおけるアクセス制御とデータ保護の概要については、次のビデオをご覧ください。 Data Virtualization。

このビデオでは、このドキュメントのコンセプトとタスクを視覚的に学習する方法を提供しています。

IBM Knowledge Catalog DPRsおよび GRANTs Data Virtualization

Data Virtualization Db2 認証チェック（または GRANT）とデータ保護ルール（DPR）を通じて、オブジェクトへのアクセス権があるかどうかを決定します。 IBM Knowledge Catalog IBM Knowledge Catalog DPMは、ガバナンス対象カタログに公開されたガバナンス対象オブジェクトへのアクセスを制限します。

次の図はこのプロセスを示しています。 IBM Knowledge Catalog DPRの強制が Data Virtualization で有効になっている場合、それらは IBM Knowledge Catalog カタログ資産に対して評価され、オブジェクトへのアクセス権限が決定されます。オブジェクトへの権限が付与されている場合、 Data Virtualization は Db2 の認証チェックを行い、お客様のアクセスを確認します。いずれの場合も認証されていれば、オブジェクトにアクセスできます。

IBM Knowledge Catalog のDPが、 IBM Knowledge Catalog でオブジェクトを評価し、 Db2 の認証を確認する前に、管理対象オブジェクトへのアクセスをさらに制限する方法を示す図。 IBM Knowledge Catalog のDPRが有効になっていない場合、 Db2 の承認が次にチェックされ、 IBM Knowledge Catalog に対するオブジェクトの評価は行われません。

ユーザーアクセス管理の詳細については、仮想オブジェクトへのアクセスを管理する Data Virtualization をご覧ください。

Db2 の認証チェックに関する詳細は、「ビューの認証モデル」を参照してください。

Data Virtualizationデータ・ソース定義 (DSD)

データ・ソース定義（DSD）は、特定の Data Virtualization インスタンスに接続するすべてのカタログとプロジェクトにわたる接続のための一意で安定した識別子です。

Data Virtualization IBM Knowledge Catalog DPR を、そのインスタンスの DSD と関連付けられているすべてのオブジェクト（レベル）に適用し、全体でオブジェクトがどのようにアクセスされるかに関わらず、一貫して DPR が確実に適用されるようにします。 Data Virtualization Data Virtualization Cloud Pak for Data

Data Virtualization インスタンスをアップグレードまたはプロビジョニングすると、カタログ > Platform assets catalog 内の Data Virtualization インスタンスに自動的にDSDが作成されます。

詳細については、データ・ソース定義によるデータ保護をご覧ください。

注： Cloud Pak for Data 上のインスタンスに、DSD に含まれないホスト名とポートを使用して接続を作成した場合、そのホスト名とポートを DSD のエンドポイントとして追加します。 Data Virtualization

詳細については、新しいまたは既存データ・ソース定義エンドポイントを追加するをご覧ください。

次の図は、 Data Virtualization におけるデータの管理に関わる主要エンティティ間の関係を示しています

Data Virtualization インスタンスIDで識別されるインスタンス。
データ・ソース定義（DSD）：DSDは、 Data Virtualization インスタンスを作成すると自動的に生成されます。 DSDは、 Data Virtualization インスタンスのエンドポイント（ホスト、ポート、インスタンスID）と、この Data Virtualization インスタンスデータ資産に適用すべき保護方法（行レベルのフィルタリングやデータマスキングなど）を保存します。
Data Virtualization への接続：カタログやプロジェクトからお客様の Data Virtualization インスタンスへの接続。
カタログ/プロジェクトデータ資産： Data Virtualization インスタンス内のオブジェクト（テーブルやビューなど）を表すメタデータ。

手順

データ保護ルールを使用して仮想データを管理するには、以下のようにします。

データを仮想化して、管理対象カタログに公開します。
Data Virtualization マネージャーまたはエンジニアのロールを持っている場合、 Data Virtualization コンソールを使用してデータを仮想化すると、カタログへの公開が有効になっている場合、仮想データは自動的に管理されたカタログに公開されます。それ以外の場合は、仮想データの公開先のカタログを選択できます。詳細は仮想データをカタログに公開する Data Virtualization をご覧ください。
このデータは、カタログ設定で構成されている場合、自動的にプロファイルが作成されます。データ資産のプロファイルには、データクラスと、データのサンプリングに基づく統計情報が含まれます。プロファイルは、データ・クラスをテーブル列に自動的に割り当てます。プロファイルを参照してください。
カタログの仮想データを管理します。
- IBM Knowledge Catalog で作成されたデータクラス、ビジネス用語、タグを、仮想テーブルおよび仮想カラムに割り当てます。 IBM Knowledge Catalog におけるビジネス用語の割り当てと管理方法の詳細については、カタログ内の資産プロパティの編集 (IBM Knowledge Catalog) およびメタデータの拡充管理をご覧ください。
- データ保護ルールを使用して、仮想テーブルへのアクセスを許可または拒否します。 Data Virtualization ユーザーは仮想テーブルを見ることはできますが、データ資産拒否ルールが適用されている場合、テーブルの内容をプレビューしたり、テーブルやその列に対して何らかの操作を行うことはできません。
  仮想化データページのテーブル名に表示される鍵のアイコン（）は、データ保護ルールによってテーブル内のデータへのアクセスが拒否されていることを示します。また、カタログ内の資産がプロファイル化されておらず、データクラスの割り当てが保留中の場合にも、鍵のアイコン（）が表示されることがあります。
  
  ビューにアクセスするには、これらの条件が満たされている必要があります。
  - ビューにアクセスするための必要な権限がある。
  - ビューの作成者に、ビューで参照されるオブジェクトにアクセスするための必要な権限がある。
- カタログの資産プレビューを表示するには、これらの条件を満たす必要があります。
  - 当該ユーザーがデータ保護ルールでブロックされていない。資産の所有者であれば、データ保護ルールでブロックされることはありません。
  - 資産に接続が関連付けられている場合は、さらに以下の条件を満たしている必要があります。
    - 当該ユーザーがデータ保護ルールによって接続へのアクセスをブロックされていない。
    - 接続の詳細に含まれているユーザー名が、データ・ソースでオブジェクトにアクセスできる。
  詳しくは、アセットのプレビューを参照してください。
- データ保護ルールを使用して、仮想テーブルの列のデータをマスクしたり、行をフィルタリングしたりします。データ・マスキング・ルールを使用すると、元のデータを偽装させることができます。データ・マスキングの方法に応じて、データは編集、置換、または難読化されます。詳細については、仮想データのマスキング Data Virtualization をご覧ください。
  列名の隣に鍵のアイコン () が表示されている場合は、その列のデータがデータ保護ルールによってマスクされていることを示しています。
注:
デフォルトでは、カタログで資産を作成したユーザーは資産所有者です。カタログ資産所有者はデータ保護規則の適用対象外ですが、 Data Virtualization のアクセス制御の対象となります。仮想オブジェクトにアクセスしているユーザーが、 IBM Knowledge Catalog 内の対応する資産の所有者でもある場合、 IBM Knowledge Catalog でそのユーザーに対して定義されているデータ保護規則およびポリシーは、 Data Virtualization では適用されません。詳細は、「ポリシーによるデータのマスキング」を参照してください。

仮想オブジェクトがカタログに追加され、少なくとも 1 つのマスキングまたは行フィルタリング・データ保護ルール、あるいはデータ・クラスに基づくデータ保護ルールがある場合、そのデータ・クラスのプロファイル作成および割り当てが完了するまで、そのオブジェクトへのアクセスは拒否されます。

Data Virtualization 接続で指定されたユーザー名は、データマスキングルールが資産とプレビューユーザーに適用されない限り、 Data Virtualization 内のオブジェクトへのアクセス権限も持っていなければなりません。