Azure SQL Database および SQL Data Warehouse のデータの検出と分類Azure SQL Database and SQL Data Warehouse data discovery & classification

データの検出と分類 (現在プレビュー段階) では、Azure SQL Database に組み込まれる、データベースの機微なデータの検出分類ラベル付け & 保護を行う高度な機能が用意されます。Data discovery & classification (currently in preview) provides advanced capabilities built into Azure SQL Database for discovering, classifying, labeling & protecting the sensitive data in your databases. 最も機微なデータの検出と分類 (ビジネス/金融、医療、個人を特定できる情報 (PII) など) は、組織の情報保護水準において極めて重要な役割を果たします。Discovering and classifying your most sensitive data (business, financial, healthcare, personally identifiable data (PII), and so on.) can play a pivotal role in your organizational information protection stature. これは、以下のケースのインフラストラクチャとして機能します。It can serve as infrastructure for:

  • データのプライバシー基準および規制のコンプライアンス要件を満たす支援。Helping meet data privacy standards and regulatory compliance requirements.
  • さまざまなセキュリティ シナリオ (機微なデータに対する異常なアクセスの監視 (監査) とアラートなど)。Various security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • 非常に機微なデータを含むデータベースへのアクセスの制御と、セキュリティの強化。Controlling access to and hardening the security of databases containing highly sensitive data.

データの検出と分類は、高度な SQL セキュリティ機能の統合パッケージである Advanced Data Security (ADS) オファリングの一部です。Data discovery & classification is part of the Advanced Data Security (ADS) offering, which is a unified package for advanced SQL security capabilities. データの検出と分類は、SQL ADS ポータルを使って一元的にアクセスおよび管理できます。data discovery & classification can be accessed and managed via the central SQL ADS portal.

注意

このドキュメントは、Azure SQL Database と Azure SQL Data Warehouse に関するものです。This document relates to Azure SQL Database and Azure SQL Data Warehouse. わかりやすいように、SQL Database という言葉で SQL Database と SQL Data Warehouse の両方を言い表します。For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. SQL Server (オンプレミス) については、「SQL Data Discovery and Classification (SQL のデータの検出と分類)」をご覧ください。For SQL Server (on premises), see SQL Data Discovery and Classification.

データの検出と分類とはWhat is data discovery & classification

データの検出と分類では、一連の高度なサービスと新しい SQL 機能が導入され、データベースだけでなくデータの保護も目的とする新しい SQL Information Protection パラダイムが形成されます。Data discovery & classification introduces a set of advanced services and new SQL capabilities, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • 検出と推奨事項Discovery & recommendations

    分類エンジンは、データベースをスキャンして、機密データが含まれる可能性のある列を識別します。The classification engine scans your database and identifies columns containing potentially sensitive data. その後、Azure Portal を使ってレビューし、適切な分類の推奨事項を適用するための簡単な方法を提供します。It then provides you an easy way to review and apply the appropriate classification recommendations via the Azure portal.

  • ラベル付けLabeling

    機密度分類ラベルは、SQL エンジンに導入された新しい分類メタデータ属性を使って、列に永続的にタグを付けることができます。Sensitivity classification labels can be persistently tagged on columns using new classification metadata attributes introduced into the SQL Engine. このメタデータは、機密度に基づく高度な監査と保護のシナリオに利用できます。This metadata can then be utilized for advanced sensitivity-based auditing and protection scenarios.

  • クエリ結果セットの機密度Query result set sensitivity

    監査のため、クエリ結果セットの機密度がリアルタイムで計算されます。The sensitivity of query result set is calculated in real time for auditing purposes.

  • 表示Visibility

    データベースの分類状態は、ポータルの詳細ダッシュボード上で見ることができます。The database classification state can be viewed in a detailed dashboard in the portal. さらに、コンプライアンスと監査の目的や他のニーズに使われる Excel 形式のレポートをダウンロードできます。Additionally, you can download a report (in Excel format) to be used for compliance & auditing purposes, as well as other needs.

機密性の高い列の検出、分類、ラベル付けDiscover, classify & label sensitive columns

次のセクションでは、データベースの機密データを含む列を検出、分類、ラベル付けする手順、およびデータベースの現在の分類状態を表示してレポートをエクスポートする手順について説明します。The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

分類には 2 つのメタデータ属性が含まれます。The classification includes two metadata attributes:

  • ラベル – メインの分類属性であり、列に格納されているデータの機密度レベルを定義するために使われます。Labels – The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • 情報の種類 – 列に格納されているデータの種類に対する追加の細分性を提供します。Information Types – Provide additional granularity into the type of data stored in the column.

分類法を定義してカスタマイズするDefine and customize your classification taxonomy

SQL データの検出と分類には、組み込みの機密ラベル セット、および組み込みの情報の種類と検出ロジック セットが付属しています。SQL data discovery & classification comes with a built-in set of sensitivity labels and a built-in set of information types and discovery logic. この分類法をカスタマイズし、一連の分類コンストラクトとその優先度を、ご自身の環境に合わせて定義できるようになりました。You now have the ability to customize this taxonomy and define a set and ranking of classification constructs specifically for your environment.

Azure テナント全体の分類法の定義とカスタマイズは 1 か所で行われます。Definition and customization of your classification taxonomy is done in one central place for your entire Azure tenant. この処理は、Azure Security Center で、セキュリティ ポリシーの一環として実施されます。That location is in Azure Security Center, as part of your Security Policy. このタスクは、テナントのルート管理グループの管理者権限を持つユーザーのみが実行できます。Only someone with administrative rights on the Tenant root management group can perform this task.

Information Protection ポリシー管理の一環として、カスタム ラベルを定義し、優先度を設定し、そのラベルを、選択した一連の情報の種類に関連付けることができます。As part of the Information Protection policy management, you can define custom labels, rank them, and associate them with a selected set of information types. 独自のカスタム情報の種類を追加し、文字列パターンで構成することもできます。これは、ご自身のデータベース内のこの種類のデータを特定するために検出ロジックに追加されます。You can also add your own custom information types and configure them with string patterns, which are added to the discovery logic for identifying this type of data in your databases. ご自身のポリシーのカスタマイズと管理の詳細については、Information Protection ポリシーの攻略ガイドに関するページをご覧ください。Learn more about customizing and managing your policy in the Information Protection policy how-to guide.

テナント全体のポリシーが定義されたら、カスタマイズしたポリシーを使用して個別のデータベースの分類を続行できます。Once the tenant-wide policy has been defined, you can continue with the classification of individual databases using your customized policy.

SQL Database を分類するClassify your SQL Database

  1. Azure ポータルにアクセスします。Go to the Azure portal.

  2. [Azure SQL Database] ウィンドウの [セキュリティ] で、[Advanced Data Security] に移動します。Navigate to Advanced Data Security under the Security heading in your Azure SQL Database pane. [Advanced Data Security] をクリックして有効にし、[データの検出と分類 (プレビュー)] カードをクリックします。Click to enable advanced data security, and then click on the Data discovery & classification (preview) card.

    データベースのスキャン

  3. [概要] タブには、データベースの現在の分類状態の概要が表示されます。これには分類済みのすべての列の詳細な一覧が含まれ、これをフィルター処理して、特定のスキーマの部分、情報の種類、ラベルだけを表示することもできます。The Overview tab includes a summary of the current classification state of the database, including a detailed list of all classified columns, which you can also filter to view only specific schema parts, information types and labels. まだどの列も分類していない場合は、手順 5 に進みますIf you haven’t yet classified any columns, skip to step 5.

    現在の分類状態の概要

  4. Excel 形式でレポートをダウンロードするには、ウィンドウ上部のメニューの [エクスポート] オプションをクリックします。To download a report in Excel format, click on the Export option in the top menu of the window.

    Excel へのエクスポート

  5. データの分類を始めるには、ウィンドウの上部にある [分類] タブをクリックします。To begin classifying your data, click on the Classification tab at the top of the window.

    データを分類する

  6. 分類エンジンがデータベースで機密データを含む可能性のある列をスキャンし、推奨される列の分類のリストを提供します。The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications. 分類の推奨事項を表示して適用するには:To view and apply classification recommendations:

    • 推奨される列の分類のリストを表示するには、ウィンドウの下部にある推奨事項パネルをクリックします。To view the list of recommended column classifications, click on the recommendations panel at the bottom of the window:

      データを分類する

    • 推奨事項の一覧を確認し、特定の列に対する推奨事項を受け入れるには、該当する行の左側にあるチェック ボックスをオンにします。Review the list of recommendations – to accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. 推奨テーブルのヘッダーのチェック ボックスをオンにして、"すべての推奨事項" を受け入れるようにマークすることもできます。You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      推奨事項の一覧を確認する

    • 選んだ推奨事項を適用するには、青い [Accept selected recommendations](選択した推奨事項を受け入れる) ボタンをクリックします。To apply the selected recommendations, click on the blue Accept selected recommendations button.

      推奨事項の適用

  7. また、推奨事項に基づく分類の代わりに、または推奨事項に基づく分類に加えて、列を手動で分類することもできます。You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • ウィンドウの上部メニューの [Add classification](分類の追加) をクリックします。Click on Add classification in the top menu of the window.

      分類を手動で追加する

    • 表示されるコンテキスト ウィンドウで、分類するスキーマ > テーブル > 列、情報の種類、機密度ラベルを選びます。In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. コンテキスト ウィンドウの下部にある青い [Add classification](分類の追加) ボタンをクリックします。Then click on the blue Add classification button at the bottom of the context window.

      分類する列を選択する

  8. 分類を完了し、新しい分類メタデータでデータベースの列に永続的にラベル (タグ) を付けるには、ウィンドウの上部メニューの [保存] をクリックします。To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    保存

機密データへのアクセスの監査Auditing access to sensitive data

機密データへのアクセスを監視できることは、情報保護パラダイムの重要な要素の 1 つです。An important aspect of the information protection paradigm is the ability to monitor access to sensitive data. Azure SQL Database Auditing が拡張され、監査ログに data_sensitivity_information という名前の新しいフィールドが追加されています。このフィールドには、クエリによって返された実際のデータの重大度の分類 (ラベル) が記録されます。Azure SQL Database Auditing has been enhanced to include a new field in the audit log called data_sensitivity_information, which logs the sensitivity classifications (labels) of the actual data that was returned by the query.

監査ログ

自動/プログラムによる分類Automated/Programmatic classification

T-SQL を使って、列の分類を追加/削除し、データベース全体のすべての分類を取得することができます。You can use T-SQL to add/remove column classifications, as well as retrieve all classifications for the entire database.

注意

T-SQL を使ってラベルを管理するとき、列に追加されるラベルが組織の情報保護ポリシー (ポータルのレコメンデーションに表示されるラベルのセット) に存在することの検証は行われません。When using T-SQL to manage labels, there is no validation that labels added to a column exist in the organizational information protection policy (the set of labels that appear in the portal recommendations). したがって、その検証はユーザーが行う必要があります。It is therefore up to you to validate this.

REST API を使用して、分類をプログラムで管理することもできます。You can also use REST APIs to programmatically manage classifications. 公開された REST API は、次の操作をサポートします。The published REST APIs support the following operations:

アクセス許可Permissions

OwnerReaderContributorSQL Security ManagerUser Access Administrator の組み込みロールでは Azure SQL データベースのデータ分類を読み取ることができます。The following built-in roles can read the data classification of an Azure SQL database: Owner, Reader, Contributor, SQL Security Manager and User Access Administrator.

OwnerContributorSQL Security Manager の組み込みロールでは Azure SQL データベースのデータ分類を変更することができます。The following built-in roles can modify the data classification of an Azure SQL database: Owner, Contributor, SQL Security Manager.

Azure リソースの RBACの詳細はこちらLearn more about RBAC for Azure resources

次のステップNext steps