データ保護ルールを適用するために改訂されたプロトコルを受け入れる

プラットフォームでは、データ保護ルールがどのように適用されるかを理解するために、複数のタスクでプロンプトが出されます。

データ保護ルールが、管理対象カタログまたは詳細な適用ソリューションによって適用されるようになりました。 詳細適用ソリューション は、データ・ソースが以下のいずれかのサービスと統合されている場合に、 Cloud Pak for Data の外部にあるデータに対してルールを適用するための保護ソリューションです。

• IBM Data Virtualization
• IBM watsonx.data

ディープ・エンフォースメント・ソリューションでプラットフォームを構成するには、データ・ソース定義を作成してデータ・ソース・タイプを設定します。 データ・ソース・タイプは、データ・ソース定義に関連付けることができる接続のタイプと、使用可能な保護ソリューション・オプションを決定します。 詳細については、データソース定義の保護ソリューションを参照してください。

詳細適用ソリューションを構成しなかった場合、管理されていないカタログまたはプロジェクトでは資産は適用されません。 詳細適用ソリューションが構成されている場合、データが管理対象または管理対象外のカタログ内にあるか、プロジェクト内にあるかに関係なく、資産は保護されます。 詳細適用ソリューションによって適用されるため、プレビューに表示されるデータは、ノートブック内に表示されるデータと一致します。

管理対象カタログからプロジェクトに追加された資産は、その資産がプロジェクトに追加されたときのユーザーおよび時刻に基づいて、静的な適用動作を保持する可能性があります。

以下の場合に、改訂されたデータ保護ルール適用プロトコルが通知されます。

• データ保護ルール を作成します。
• 「プロジェクトに追加」をクリックしたときに、管理対象カタログからプロジェクトに資産をコピーします。 カタログ内からの資産の追加 を参照してください。

デフォルト・ルールの動作の変更

ルールの動作設定により、データ保護ルールの適用方法が決まります。 デフォルトでは、ユーザーは、ルールによって禁止されていない限り、データ資産にアクセスできます。 複数のルールが同じデータ資産に影響する場合は、よりセキュアなデータ保護ルールとより多くのプライベート・マスキング方式が優先されます。

デフォルトのルール動作設定を変更する場合は、データ保護ルールを作成する前に変更する必要があります。 それ以外の場合は、設定を変更する前に、既存のルールをすべて削除する必要があります。 データ・アクセス規則のどの方向が最も単純であるか、またはルールにより適しているかを評価します。

デフォルトのデータ・アクセス規則

デフォルトでデータをアンロックするかロックするかを選択し、データへのアクセスを拒否または許可するルールを作成するかどうかを選択します。 デフォルトでは、データはアンロックされます。

ルール・アクションの優先順位

複数のルールが同じデータ値に適用される場合、または階層制約を使用する場合に、よりセキュアなルールを優先するか、より緩やかなルールを優先するかを選択します。 セキュリティーの順序では、「アクセスの拒否」、「マスク」、「アクセスの許可」のアクションがあります。 デフォルトでは、最もセキュアなアクションが優先されます。

階層制約の動作は、 「デフォルトのデータ・アクセス規則」 設定で「アンロック」または「ロック」オプションを選択したかどうかによって異なります。

• アンロックされた規則の場合、階層制約の優先順位は、最もセキュアなアクション優先順位と同等になります。

• ロックされた規則の場合、マスクされたデータまたは生データを表示するには、少なくとも 1 つの許可決定が必要です。 マスクされた結果の場合、マスクと許可の両方の決定が必要です。 それ以外の場合、アクセスは拒否されます。

ルール・マスキング方式の優先順位

データをマスクする複数のルールが同じデータ値に適用される場合に、より多くのプライベート・マスキングまたはより有用なマスキングを持つルールを優先するかどうかを選択します。 マスキング方式は、プライバシーの観点では「編集」、「置換」、「難読化」の順です。 デフォルトでは、プライバシーが最も高い方法が優先されます。

データ保護標準の文書化

データ保護ルールを作成する理由と、ルールの必要な結果を記述するポリシーを作成できます。 ポリシーとそれに関連するガバナンス・ルールは、組織の標準と、それらの標準にデータ資産を準拠させる方法を記述します。 ポリシーは、ポリシーの意味およびポリシーの相互関係に基づいて階層に編成できます。 ガバナンス・ルールは、特定のガバナンス・ポリシーを実装するために必要な動作またはアクションのビジネス上の説明を提供します。 ポリシーおよびガバナンス・ルールは強制できません。 ただし、データ保護ルールをポリシーに割り当てて、標準に関する情報に確実に準拠する方法をリンクすることができます。

データを保護する方法を定義するルールの作成

データ保護ルールは、データへのアクセスを制御する方法、データ値をマスクする方法、またはデータ資産内の行をフィルタリングする方法を定義します。 データ保護ルールは、ルールが適用されるワークスペース内の資産にユーザーがアクセスしようとするたびに、適用について評価されます。 適用は、データ資産にアクセスしているユーザー、ユーザーがデータ資産にアクセスしている場所、およびデータ資産のプロパティーがルールで指定されている基準に一致しているかどうかに基づいて行われます。

通常、ルール基準を作成し、ビジネス用語、データ・クラス、分類などのデータを記述するガバナンス成果物を使用してマスキングを指定します。 データ保護ルールが特定のデータ・クラスに基づいている場合は、拡張マスキング・オプションを指定して、マスクされたデータの有用性を高めることができます。

ルールがガバナンス成果物に依存している場合は、適切なガバナンス成果物がデータ資産に割り当てられていることを確認する必要があります。 例えば、クレジット・カード番号データ・クラスが割り当てられている列のクレジット・カード番号をマスクするルールを作成できます。 クレジット・カード番号データ・クラスが割り当てられていないクレジット・カード・データを含む列は、マスクされません。

データ保護ルールは、作成直後に有効になります。

マスキング・フローを使用してデータを永続的にマスクする

データをマスクするデータ保護ルールがある場合は、マスキング・フローを実行して、管理対象カタログ内のデータ資産のコピーである、永続的にマスクされたデータ資産を作成できます。 カタログからプロジェクトに資産を追加し、マスキング・フローを実行してから、結果のデータ資産を新規資産としてカタログに公開できます。 1 つ以上の表をコピーしてその列をマスクするか、関連する表のサブセットをマスクするかを選択できます。 どちらの場合も、結果のデータ資産内のデータをフィルターに掛けるための条件を定義できます。

IBM Data Virtualizationによるデータ保護ルールの実施

データへのアクセスを拒否したりデータをマスクしたりするデータ保護ルールがある場合は、現在の資産がどこにあるかに関係なく、カタログ内の仮想表に対してプラットフォーム全体でそれらのルールを適用できます。 資産が、管理対象カタログ、管理対象外カタログ、またはプロジェクトのいずれに配置されているか。ただし、プラットフォーム内の管理対象カタログに資産の 1 つのコピーが存在することを前提とします。

IBM watsonx.data を使用したデータ保護ルールの適用

データへのアクセスを拒否したり、データをマスクしたりするデータ保護ルールがある場合は、現在の資産がどこにあるかに関係なく、カタログ内のテーブルに対してプラットフォーム全体でそれらのルールを適用することができます。 資産が、管理対象カタログ、管理対象外カタログ、またはプロジェクトのいずれに配置されているか。ただし、プラットフォーム内の管理対象カタログに資産の 1 つのコピーが存在することを前提とします。

IBM Match 360 を使用して、データ保護ルールを適用します。

データへのアクセスを拒否したり、データをマスクしたりするデータ保護ルールがある場合は、マスター・データ・エンティティーおよびレコード内でそれらのルールを適用できます。 IBM Match 360 設定で、データ保護ルールの適用を有効にする必要があります。

以前の計画タスク

• IBM Knowledge Catalog
• ガバナンス・フレームワークの実装計画

次の計画タスク

• 共有するデータのキュレートの計画
• IBM Knowledge Catalogのモニターの計画

親トピック: データ・ガバナンスの実装の計画