データ保護規則を作成する計画
このトピックの目的は、データおよびユーザー属性を使用する保護を最大化するための データ保護ルールの設計 に関するガイドラインを確立することです。 データ保護ルールを使用して効果的に管理できる非結合の資産セットを形成するために使用される、識別された区画に基づいてルールを作成する手順について説明します。
データ資産に、機密性の高い個人情報 (SPI)、個人情報 (PII)、および社会保障番号 (SSN) などのデータ・クラスなどのビジネス用語を含めることができるユース・ケースの例を考えてみます。 さらに、ユーザーは ADMINISTRATORS、 DATA STEWARDS 、および DEVELOPERSなどのユーザー・グループに属することができます。 この例を単純化するために、ユーザー・グループ・メンバーシップは非結合であると想定され、優先順位に依存せずにデータ保護ルールを使用します。
パーティション という用語は、オブジェクトのグループの論理分割を意味します。 例えば、割り当てられた属性に基づいて、すべての資産またはユーザーを特定の意味のあるセットに区分化します。
割り当てられた属性のセットによる資産の論理セットへの分割を示す図:
データ保護ルールを作成するには、以下のタスクを実行します。
- ルール設定の構成。
- 資産およびユーザー・スペースの識別または区分化。
- 各パーティションの結果の選択。
- 各パーティションのルールの定義。
- オプション: 意思決定の例外処理のための動的メタ・ルールの定義。
ルール設定の構成
- データ・アクセス規則を設定します。 以下の 2 つの規則オプションから選択できます。
| API 設定 | UI 設定 | 表記方法 |
|---|---|---|
| AEAD (デフォルト) |
アンロック済み | デフォルト。 すべての作成者の拒否を許可 (AEAD) 規則に従います。 ルールによって拒否されない限り、データへのアクセスを許可します。 データへのアクセスを拒否し、データをマスクし、データから行をフィルタリングするルールを作成します。 |
| 「DEAA」 | ロック済み | deny 全作成者許可 (DEAA) 規則に従います。 ルールで許可されていない限り、データへのアクセスを拒否します。 データへのアクセス、データのマスク、およびデータからの行のフィルタリングを許可するルールを作成します。 |
変換規則を評価できない場合、結果はデフォルトで以下の規則の決定になります。
Denyfor ロック済みAllowfor アンロック済み
ユーザーがアセットにアクセスしようとしたときにルールがトリガーされない場合、規則によって以下のいずれかの結果が決定されます。
Deny- データ・アクセス規則がユーザー・インターフェースで 「ロック済み」 として設定されているか、API で
DEAAとして構成されている場合、結果はDenyになります。
Allow- データ・アクセス規則がユーザー・インターフェースで Unlocked として設定されているか、API で
AEADとして構成されている場合、結果はAllowになります。
- ルール・アクションの優先順位を設定します。 特定のアセットと特定のユーザーに対して複数の競合するルールが同時にトリガーされた場合に実行するアクションを決定するには、以下のいずれかのオプションを選択します。
- 最もセキュアなアクションが優先されます (デフォルト設定)
- データ・アクセス規則がユーザー・インターフェースで 「ロック済み」 として設定されているか、API で
DEAAとして構成されている場合、優先順位はTransform規則の次にAllow規則になります。
- データ・アクセス規則がユーザー・インターフェースで 「ロック済み」 として設定されているか、API で
- ユーザー・インターフェースでデータ・アクセス規則が Unlocked として設定されている場合、または API で
AEADとして構成されている場合、優先順位はDeny規則からTransform規則になります。
- ユーザー・インターフェースでデータ・アクセス規則が Unlocked として設定されている場合、または API で
- 最も寛容なアクションが優先される
- データ・アクセス規則がユーザー・インターフェースで 「ロック済み」 として設定されているか、API で
DEAAとして構成されている場合、優先順位はAllow規則の次にTransform規則になります。
- データ・アクセス規則がユーザー・インターフェースで 「ロック済み」 として設定されているか、API で
- ユーザー・インターフェースでデータ・アクセス規則が Unlocked として設定されている場合、または API で
AEADとして構成されている場合、優先順位はTransform規則からDeny規則になります。
- ユーザー・インターフェースでデータ・アクセス規則が Unlocked として設定されている場合、または API で
「ロック」 (DEAA) 規則の例では、ユーザーが資産にアクセスしようとしたときに、1 つの規則が 1 つ以上の列を変換し、もう 1 つの規則が資産へのフルアクセスを許可するように 2 つの規則がトリガーされ、 「最も緩やかなアクションが優先」 が選択された場合、 Allow 規則が Transform 規則をオーバーライドするため、ユーザーは資産全体にアクセスできます。
- ルール・マスキング方式の優先順位を設定します。 以下のいずれかのオプションを選択します。
- プライバシーの優先度が最も高いメソッド (デフォルト設定)
- 変換の優先順位は、
Redact、Substitute、Obfuscateの順になります。
- 最も実用性の高いメソッドが優先される
- 変換の優先順位は、
Obfuscate、Substitute、Redactの順になります。
例えば、ユーザーが資産にアクセスしようとしたときに、1 つのルールが特定の列を編集し、もう 1 つのルールが同じ列を難読化するという 2 つのルールがトリガーされ、 「最もプライバシーが優先されるメソッド」 が選択された場合、 Redact ルールが Obfuscate ルールをオーバーライドするため、その列は編集されます。
ルール設定について詳しくは、「 ルール設定の管理 」トピックを参照してください。 さらに、ユーザー・インターフェースを構成できる 「ルール設定の管理」 ウィンドウの以下の画面キャプチャーを参照してください。
資産およびユーザー・スペースの識別または区分化
- 資産スペース 内の属性と、データ保護ルールの基礎を形成するためにマスクまたは保護する属性の値をメモしておきます。 資産スペース内の属性の例としては、データ・クラス、ビジネス用語、タグ、および列名があります。
- ユーザー・スペース 内の属性、およびデータ保護ルールの基礎を形成するためにマスクまたは保護する属性の値をメモします。 ユーザー・スペース内の属性の例としては、ユーザー・ロールやユーザー・グループがあります。
例えば、 ビジネス用語 SPI および PIIに基づいてルールを作成することを検討してください。 さらに、値 ADMINISTRATORS、 DATA STEWARDS、および DEVELOPERSを持つ ユーザー・グループ ・ユーザー属性。 資産スペースとユーザー・スペースは、以下の表に示すようにパーティション化できます。
| ビジネス用語 | ユーザー・グループ |
|---|---|
SPI |
ADMINISTRATORS |
SPI |
DATA STEWARDS |
SPI |
DEVELOPERS |
SPI |
-- |
PII |
ADMINISTRATORS |
PII |
DATA STEWARDS |
PII |
DEVELOPERS |
PII |
-- |
-- |
ADMINISTRATORS |
-- |
DATA STEWARDS |
-- |
DEVELOPERS |
-- |
-- |
SPI, PII |
ADMINISTRATORS |
SPI, PII |
DATA STEWARDS |
SPI, PII |
DEVELOPERS |
SPI, PII |
-- |
資産が分割されたこの例を示すベン図表:
各パーティションの結果の選択
属性と値の例の組み合わせごとに、結果を決定します。
| ビジネス用語 | ユーザー・グループ | アクションまたは結果が選択されました |
|---|---|---|
SPI |
ADMINISTRATORS |
ALLOW |
SPI |
DATA STEWARDS |
REDACT (SPI) |
SPI |
DEVELOPERS |
DENY |
SPI |
-- |
DENY |
PII |
ADMINISTRATORS |
ALLOW |
PII |
DATA STEWARDS |
OBFUSCATE (PII) |
PII |
DEVELOPERS |
REDACT (PII) |
PII |
-- |
DENY |
-- |
ADMINISTRATORS |
ALLOW |
-- |
DATA STEWARDS |
ALLOW |
-- |
DEVELOPERS |
ALLOW |
-- |
-- |
DENY |
SPI, PII |
ADMINISTRATORS |
ALLOW |
SPI, PII |
DATA STEWARDS |
REDACT (SPI), OBFUSCATE (PII) |
SPI, PII |
DEVELOPERS |
DENY |
SPI, PII |
-- |
DENY |
以下の各ユーザー・グループのベン図で、結果の例 (緑色は Allow、赤色は Deny、黄色は Obfuscate、茶色は Redact ) は以下のとおりです。
表と図の例は、すべてのパーティションの選択された振る舞いを明確にするのに役立ちます。
各パーティションのルールの定義
規則 Unlocked (AEAD) または Locked (DEAA) に応じて、結果要件を適用するための適切な規則を設計できます。 例えば、以下のルール設定が選択されているシナリオを考えてみます。
- 規則: ロック済み (
DEAA)。ルールが指定されていない場合、ユーザーはどのデータにもアクセスできません。 - ルール・アクションの優先順位: 最もセキュアなアクションが優先されます
- ルール・マスキング方式の優先順位: ほとんどのプライバシーが優先される方式
指定された設定と結果を使用して、以下のルールを使用してルールを設計できます。
- ルール 1
- 条件 (Condition)
IF (userGroup contains ADMINISTRATORS)- アクション
ALLOW
- ルール 2
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains SPI)- アクション
REDACT (SPI)
- ルール 3
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains PII)- アクション
OBFUSCATE (PII)
ルール 4 以下のルール 4.1 および 4.2 は、ユーザー・グループ DEVELOPERS および DATA STEWARDSごとに異なる 2 つのルールです。
- ルール 4.1
- 条件 (Condition)
IF (userGroup contains DEVELOPERS) AND NOT (businessTerm CONTAINS {SPI, PII})- アクション
ALLOW
- ルール 4.2
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND NOT (businessTerm CONTAINS {SPI, PII})- アクション
ALLOW
- オプション 以下のルールは、ルール 4.1 および 4.2 を単一のルールに結合します。
- 条件 (Condition)
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND NOT (businessTerm CONTAINS {SPI, PII})- アクション
ALLOW
- ルール 5
- 条件 (Condition)
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS PII) AND NOT (businessTerm CONTAINS SPI)- アクション
REDACT (PII)
データ保護の設計時に追加の資産属性またはユーザー属性が含まれている場合、結果表には、すべての可能性を列挙するための追加の列が必要です。
ユーザー・インターフェースの ルール 2 の画面キャプチャー:
この例に続いて、 SSN 値を持つデータ・クラスなど、別の資産属性をルール・スペースに組み込むことを検討してください。 このシナリオでルールを設計するには、この新しい資産スペースの区分化を使用して、上記の以下のタスクを繰り返します。
| ビジネス用語 | データ・クラス | ユーザー・グループ | アクションまたは結果が選択されました |
|---|---|---|---|
SPI |
SSN |
ADMINISTRATORS |
ALLOW |
SPI |
SSN |
DATA STEWARDS |
REDACT (SPI, SSN) |
SPI |
SSN |
DEVELOPERS |
DENY |
SPI |
SSN |
-- |
DENY |
PII |
SSN |
ADMINISTRATORS |
ALLOW |
PII |
SSN |
DATA STEWARDS |
OBFUSCATE (PII), REDACT (SSN) |
PII |
SSN |
DEVELOPERS |
REDACT (PII, SSN) |
PII |
SSN |
-- |
DENY |
-- |
SSN |
ADMINISTRATORS |
ALLOW |
-- |
SSN |
DATA STEWARDS |
REDACT (SSN) |
-- |
SSN |
DEVELOPERS |
REDACT (SSN) |
-- |
SSN |
-- |
DENY |
SPI |
-- |
ADMINISTRATORS |
ALLOW |
SPI |
-- |
DATA STEWARDS |
REDACT (SPI) |
SPI |
-- |
DEVELOPERS |
DENY |
SPI |
-- |
-- |
DENY |
PII |
-- |
ADMINISTRATORS |
ALLOW |
PII |
-- |
DATA STEWARDS |
OBFUSCATE (PII) |
PII |
-- |
DEVELOPERS |
REDACT (PII) |
PII |
-- |
-- |
DENY |
-- |
-- |
ADMINISTRATORS |
ALLOW |
-- |
-- |
DATA STEWARDS |
ALLOW |
-- |
-- |
DEVELOPERS |
ALLOW |
-- |
-- |
-- |
DENY |
SPI, PII |
SSN |
ADMINISTRATORS |
ALLOW |
SPI, PII |
SSN |
DATA STEWARDS |
REDACT (SPI, SSN), OBFUSCATE (PII) |
SPI, PII |
SSN |
DEVELOPERS |
DENY |
SPI, PII |
SSN |
-- |
DENY |
SPI, PII |
-- |
ADMINISTRATORS |
ALLOW |
SPI, PII |
-- |
DATA STEWARDS |
REDACT (SPI), OBFUSCATE (PII) |
SPI, PII |
-- |
DEVELOPERS |
DENY |
SPI, PII |
-- |
-- |
DENY |
ルール・スペースに対する SSN 値を持つデータ・クラスを含む各ユーザー・グループのベン図表:
追加された属性とそれに対応する選択された結果を使用して、ルール・スペースで以下のルールが変更されます。
- ルール 6
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND (dataClass contains SSN)- アクション
REDACT (SSN)
- ルール 7
- 条件 (Condition)
IF (userGroup contains DEVELOPERS) AND (dataClass contains SSN) AND NOT (businessTerm CONTAINS SPI)- アクション
REDACT (SSN)
- ルール 4 ' ( ルール 4の変更)
- 条件 (Condition)
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND NOT (businessTerm CONTAINS {SPI, PII}) AND NOT (dataClass CONTAINS SSN)- アクション
ALLOW
代わりに、選択された規則がロック解除 (AEAD) の場合は、代わりに以下の設定で規則を設計できます。
- 規則: Unlocked (
AEAD)。ルールが指定されていない場合、すべてのユーザーがすべてのデータにアクセスできます。 - ルール・アクションの優先順位: 最もセキュアなアクションが優先されます
- ルール・マスキング方式の優先順位: ほとんどのプライバシーが優先される方式
| ビジネス用語 | ユーザー・グループ | アクションまたは結果が選択されました |
|---|---|---|
SPI |
ADMINISTRATORS |
ALLOW |
SPI |
DATA STEWARDS |
REDACT (SPI) |
SPI |
DEVELOPERS |
DENY |
SPI |
-- |
DENY |
PII |
ADMINISTRATORS |
ALLOW |
PII |
DATA STEWARDS |
OBFUSCATE (PII) |
PII |
DEVELOPERS |
REDACT (PII) |
PII |
-- |
DENY |
-- |
ADMINISTRATORS |
ALLOW |
-- |
DATA STEWARDS |
ALLOW |
-- |
DEVELOPERS |
ALLOW |
-- |
-- |
DENY |
SPI, PII |
ADMINISTRATORS |
ALLOW |
SPI, PII |
DATA STEWARDS |
REDACT (SPI), OBFUSCATE (PII) |
SPI, PII |
DEVELOPERS |
DENY |
SPI, PII |
-- |
DENY |
- ルール 1
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains SPI)- アクション
REDACT (SPI)
- ルール 2
- 条件 (Condition)
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains PII)- アクション
OBFUSCATE (PII)
- ルール 3
- 条件 (Condition)
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS SPI)- アクション
DENY
- ルール 4
- 条件 (Condition)
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS PII)- アクション
REDACT (PII)
- ルール 5
- 条件 (Condition)
IF NOT (userGroup contains {ADMINISTRATORS, DATA STEWARDS, DEVELOPERS})- アクション
DENY
SSN 値を持つデータ・クラスなどの資産属性がルール・スペースに追加された場合、この新しい資産スペースの区分化に基づいてルールを変更できます。
| ビジネス用語 | データ・クラス | ユーザー・グループ | アクションまたは結果が選択されました |
|---|---|---|---|
SPI |
SSN |
ADMINISTRATORS |
ALLOW |
SPI |
SSN |
DATA STEWARDS |
REDACT (SPI, SSN) |
SPI |
SSN |
DEVELOPERS |
DENY |
SPI |
SSN |
-- |
DENY |
PII |
SSN |
ADMINISTRATORS |
ALLOW |
PII |
SSN |
DATA STEWARDS |
OBFUSCATE (PII), REDACT (SSN) |
PII |
SSN |
DEVELOPERS |
REDACT (PII, SSN) |
PII |
SSN |
-- |
DENY |
-- |
SSN |
ADMINISTRATORS |
ALLOW |
-- |
SSN |
DATA STEWARDS |
REDACT (SSN) |
-- |
SSN |
DEVELOPERS |
REDACT (SSN) |
-- |
SSN |
-- |
DENY |
SPI |
-- |
ADMINISTRATORS |
ALLOW |
SPI |
-- |
DATA STEWARDS |
REDACT (SPI) |
SPI |
-- |
DEVELOPERS |
DENY |
SPI |
-- |
-- |
DENY |
PII |
-- |
ADMINISTRATORS |
ALLOW |
PII |
-- |
DATA STEWARDS |
OBFUSCATE (PII) |
PII |
-- |
DEVELOPERS |
REDACT (PII) |
PII |
-- |
-- |
DENY |
-- |
-- |
ADMINISTRATORS |
ALLOW |
-- |
-- |
DATA STEWARDS |
ALLOW |
-- |
-- |
DEVELOPERS |
ALLOW |
-- |
-- |
-- |
DENY |
SPI, PII |
SSN |
ADMINISTRATORS |
ALLOW |
SPI, PII |
SSN |
DATA STEWARDS |
REDACT (SPI, SSN), OBFUSCATE (PII) |
SPI, PII |
SSN |
DEVELOPERS |
DENY |
SPI, PII |
SSN |
-- |
DENY |
SPI, PII |
-- |
ADMINISTRATORS |
ALLOW |
SPI, PII |
-- |
DATA STEWARDS |
REDACT (SPI), OBFUSCATE (PII) |
SPI, PII |
-- |
DEVELOPERS |
DENY |
SPI, PII |
-- |
-- |
DENY |
- ルール 6
- 条件 (Condition)
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND (dataClass contains SSN)- アクション
REDACT (SSN)
アンロック (AEAD) 規則では、 public タグを持ち、 PII、 SPI、または SSN を持たない資産にすべてのユーザーがアクセスできるようにすることが望ましい場合 (選択された結果が Allowの場合など)、以下の述部を追加して既存の ルール 5 を変更する必要があります。
- ルール 5 ' (ルール 5 の変更)
- 条件 (Condition)
IF NOT (userGroup contains { ADMINISTRATORS, DATA STEWARDS, DEVELOPERS } ) AND NOT (tag CONTAINS PUBLIC) AND ((businessTerm CONTAINS {SPI, PII}) OR (dataClass CONTAINS SSN))- アクション
DENY
(オプション) 意思決定の例外処理のための動的メタ・ルールの定義
動的メタ・ルールは、特定のスーパーユーザーの例外を追加するために作成されます。 特定のユーザーまたはユーザー・グループに対して動的メタ・ルールが定義されている場合、 「各区画のルールの定義」 セクションで定義されているすべてのデータ保護ルールはスキップされ、動的メタ・ルール内のユーザーに対してすべての資産へのアクセス権限が付与されます。 例えば、 SUPERADMINS ユーザー・グループがスーパーユーザー・アクセスを必要とする場合、以下の動的メタ規則を定義できます。
- 動的メタ・ルール
- 条件 (Condition)
IF (userGroup contains SUPERADMINS)- アクション
ALLOW
動的メタ規則は、 「ロック済み」 システムと 「アンロック済み」 システムの両方で、アクション ALLOW を使用してのみ定義されます。