Azure SQL Database および SQL Data Warehouse のデータの検出と分類Azure SQL Database and SQL Data Warehouse data discovery & classification

データの検出と分類では、Azure SQL Database に組み込まれる、データベースの機微なデータの検出分類ラベル付け & 報告を行う高度な機能が用意されています。Data discovery & classification provides advanced capabilities built into Azure SQL Database for discovering, classifying, labeling & reporting the sensitive data in your databases.

最も機微なデータの検出と分類 (ビジネス/金融、医療、個人を特定できる情報 (PII) など) は、組織の情報保護水準において極めて重要な役割を果たします。Discovering and classifying your most sensitive data (business, financial, healthcare, personally identifiable data (PII), and so on.) can play a pivotal role in your organizational information protection stature. 次のような場合にインフラストラクチャとして使用できます。It can serve as infrastructure for:

  • データのプライバシー基準および規制のコンプライアンス要件を満たす支援。Helping meet data privacy standards and regulatory compliance requirements.
  • さまざまなセキュリティ シナリオ (機微なデータに対する異常なアクセスの監視 (監査) とアラートなど)。Various security scenarios, such as monitoring (auditing) and alerting on anomalous access to sensitive data.
  • 非常に機微なデータを含むデータベースへのアクセスの制御と、セキュリティの強化。Controlling access to and hardening the security of databases containing highly sensitive data.

データの検出と分類は、高度な SQL セキュリティ機能の統合パッケージである Advanced Data Security (ADS) オファリングの一部です。Data discovery & classification is part of the Advanced Data Security (ADS) offering, which is a unified package for advanced SQL security capabilities. データの検出と分類は、SQL ADS ポータルを使って一元的にアクセスおよび管理できます。data discovery & classification can be accessed and managed via the central SQL ADS portal.

注意

このドキュメントは、Azure SQL Database と Azure SQL Data Warehouse に関するものです。This document relates to Azure SQL Database and Azure SQL Data Warehouse. わかりやすいように、SQL Database という言葉で SQL Database と SQL Data Warehouse の両方を言い表します。For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. SQL Server (オンプレミス) については、「SQL Data Discovery and Classification (SQL のデータの検出と分類)」をご覧ください。For SQL Server (on premises), see SQL Data Discovery and Classification.

データの検出と分類とはWhat is data discovery & classification

データの検出と分類では、一連の高度なサービスと新しい SQL 機能が導入され、データベースだけでなくデータの保護も目的とする新しい SQL Information Protection パラダイムが形成されます。Data discovery & classification introduces a set of advanced services and new SQL capabilities, forming a new SQL Information Protection paradigm aimed at protecting the data, not just the database:

  • 検出と推奨事項Discovery & recommendations

    分類エンジンは、データベースをスキャンして、機密データが含まれる可能性のある列を識別します。The classification engine scans your database and identifies columns containing potentially sensitive data. その後、Azure Portal を使ってレビューし、適切な分類の推奨事項を適用するための簡単な方法を提供します。It then provides you an easy way to review and apply the appropriate classification recommendations via the Azure portal.

  • ラベル付けLabeling

    機密度分類ラベルは、SQL エンジンに導入された新しい分類メタデータ属性を使って、列に永続的にタグを付けることができます。Sensitivity classification labels can be persistently tagged on columns using new classification metadata attributes introduced into the SQL Engine. このメタデータは、機密度に基づく高度な監査と保護のシナリオに利用できます。This metadata can then be utilized for advanced sensitivity-based auditing and protection scenarios.

  • クエリ結果セットの機密度Query result set sensitivity

    監査のため、クエリ結果セットの機密度がリアルタイムで計算されます。The sensitivity of query result set is calculated in real time for auditing purposes.

  • 表示Visibility

    データベースの分類状態は、ポータルの詳細ダッシュボード上で見ることができます。The database classification state can be viewed in a detailed dashboard in the portal. さらに、コンプライアンスと監査の目的や他のニーズに使われる Excel 形式のレポートをダウンロードできます。Additionally, you can download a report (in Excel format) to be used for compliance & auditing purposes, as well as other needs.

機密性の高い列の検出、分類、ラベル付けDiscover, classify & label sensitive columns

次のセクションでは、データベース内の機密データを含む列の検出、分類、およびラベル付けの手順に加え、データベースの現在の分類状態の表示とレポートのエクスポートの手順について説明します。The following section describes the steps for discovering, classifying, and labeling columns containing sensitive data in your database, as well as viewing the current classification state of your database and exporting reports.

分類には、次の 2 つのメタデータ属性が含まれます。The classification includes two metadata attributes:

  • ラベル – 列に格納されるデータの機密レベルを定義するために使用される、主な分類属性です。Labels – The main classification attributes, used to define the sensitivity level of the data stored in the column.
  • 情報の種類 – 列に格納されるデータの種類をさらに細分化します。Information Types – Provide additional granularity into the type of data stored in the column.

分類法を定義してカスタマイズするDefine and customize your classification taxonomy

SQL データの検出と分類には、組み込みの機密ラベル セット、および組み込みの情報の種類と検出ロジック セットが付属しています。SQL data discovery & classification comes with a built-in set of sensitivity labels and a built-in set of information types and discovery logic. この分類法をカスタマイズし、一連の分類コンストラクトとその優先度を、ご自身の環境に合わせて定義できるようになりました。You now have the ability to customize this taxonomy and define a set and ranking of classification constructs specifically for your environment.

Azure テナント全体の分類法の定義とカスタマイズは 1 か所で行われます。Definition and customization of your classification taxonomy is done in one central place for your entire Azure tenant. この処理は、Azure Security Center で、セキュリティ ポリシーの一環として実施されます。That location is in Azure Security Center, as part of your Security Policy. このタスクは、テナントのルート管理グループの管理者権限を持つユーザーのみが実行できます。Only someone with administrative rights on the Tenant root management group can perform this task.

Information Protection ポリシー管理の一環として、カスタム ラベルを定義し、優先度を設定し、そのラベルを、選択した一連の情報の種類に関連付けることができます。As part of the Information Protection policy management, you can define custom labels, rank them, and associate them with a selected set of information types. 独自のカスタム情報の種類を追加し、文字列パターンで構成することもできます。これは、ご自身のデータベース内のこの種類のデータを特定するために検出ロジックに追加されます。You can also add your own custom information types and configure them with string patterns, which are added to the discovery logic for identifying this type of data in your databases. ご自身のポリシーのカスタマイズと管理の詳細については、Information Protection ポリシーの攻略ガイドに関するページをご覧ください。Learn more about customizing and managing your policy in the Information Protection policy how-to guide.

テナント全体のポリシーが定義されたら、カスタマイズしたポリシーを使用して個別のデータベースの分類を続行できます。Once the tenant-wide policy has been defined, you can continue with the classification of individual databases using your customized policy.

SQL Database を分類するClassify your SQL Database

  1. Azure ポータルにアクセスします。Go to the Azure portal.

  2. [Azure SQL Database] ウィンドウの [セキュリティ] で、 [Advanced Data Security] に移動します。Navigate to Advanced Data Security under the Security heading in your Azure SQL Database pane. [Advanced Data Security を有効にします] をクリックして、 [データの検出と分類] カードをクリックします。Click to enable advanced data security, and then click on the Data discovery & classification card.

    データベースのスキャン

  3. [概要] タブには、データベースの現在の分類状態の概要が表示されます。これには分類済みのすべての列の詳細な一覧が含まれ、これをフィルター処理して、特定のスキーマの部分、情報の種類、ラベルだけを表示することもできます。The Overview tab includes a summary of the current classification state of the database, including a detailed list of all classified columns, which you can also filter to view only specific schema parts, information types and labels. まだどの列も分類していない場合は、手順 5 に進みますIf you haven’t yet classified any columns, skip to step 5.

    現在の分類状態の概要

  4. Excel 形式でレポートをダウンロードするには、ウィンドウ上部のメニューの [エクスポート] オプションをクリックします。To download a report in Excel format, click on the Export option in the top menu of the window.

    Excel へのエクスポート

  5. データの分類を始めるには、ウィンドウの上部にある [分類] タブをクリックします。To begin classifying your data, click on the Classification tab at the top of the window.

    データを分類する

  6. 分類エンジンがデータベースで機密データを含む可能性のある列をスキャンし、推奨される列の分類のリストを提供します。The classification engine scans your database for columns containing potentially sensitive data and provides a list of recommended column classifications. 分類の推奨事項を表示して適用するには:To view and apply classification recommendations:

    • 推奨される列の分類のリストを表示するには、ウィンドウの下部にある推奨事項パネルをクリックします。To view the list of recommended column classifications, click on the recommendations panel at the bottom of the window:

      データを分類する

    • 推奨事項の一覧を確認し、特定の列に対する推奨事項を受け入れるには、該当する行の左側にあるチェック ボックスをオンにします。Review the list of recommendations – to accept a recommendation for a specific column, check the checkbox in the left column of the relevant row. 推奨事項テーブル ヘッダーのチェック ボックスをオンにして、すべての推奨事項 を承諾済みとしてマークすることもできます。You can also mark all recommendations as accepted by checking the checkbox in the recommendations table header.

      推奨事項の一覧を確認する

    • 選択した推奨事項を適用するには、青い [Accept selected recommendations](選択した推奨事項を承諾) ボタンをクリックします。To apply the selected recommendations, click on the blue Accept selected recommendations button.

      推奨事項の適用

  7. 代わりに列を手動で分類することもできます。さらに、推奨事項ベースの分類について、次の操作を実行することもできます。You can also manually classify columns as an alternative, or in addition, to the recommendation-based classification:

    • ウィンドウの上部のメニューで [分類の追加] をクリックします。Click on Add classification in the top menu of the window.

      分類を手動で追加する

    • 開いたコンテキスト メニューで、分類するスキーマ、テーブル、列の順に選択し、情報の種類と機密ラベルを選択します。In the context window that opens, select the schema > table > column that you want to classify, and the information type and sensitivity label. 次に、コンテキスト ウィンドウの下部にある青い [分類の追加] ボタンをクリックします。Then click on the blue Add classification button at the bottom of the context window.

      分類する列を選択する

  8. 分類を完了し、新しい分類メタデータでデータベース列に永続的にラベル (タグ) を付けるには、ウィンドウの上部のメニューで [保存] をクリックします。To complete your classification and persistently label (tag) the database columns with the new classification metadata, click on Save in the top menu of the window.

    保存

機密データへのアクセスの監査Auditing access to sensitive data

機密データへのアクセスを監視できることは、情報保護パラダイムの重要な要素の 1 つです。An important aspect of the information protection paradigm is the ability to monitor access to sensitive data. Azure SQL Database Auditing が拡張され、監査ログに data_sensitivity_information という名前の新しいフィールドが追加されています。このフィールドには、クエリによって返された実際のデータの重大度の分類 (ラベル) が記録されます。Azure SQL Database Auditing has been enhanced to include a new field in the audit log called data_sensitivity_information, which logs the sensitivity classifications (labels) of the actual data that was returned by the query.

監査ログ

アクセス許可Permissions

OwnerReaderContributorSQL Security ManagerUser Access Administrator の組み込みロールでは Azure SQL データベースのデータ分類を読み取ることができます。The following built-in roles can read the data classification of an Azure SQL database: Owner, Reader, Contributor, SQL Security Manager and User Access Administrator.

OwnerContributorSQL Security Manager の組み込みロールでは Azure SQL データベースのデータ分類を変更することができます。The following built-in roles can modify the data classification of an Azure SQL database: Owner, Contributor, SQL Security Manager.

Azure リソースの RBACの詳細はこちらLearn more about RBAC for Azure resources

分類の管理Manage classifications

T-SQL を使って、列の分類を追加/削除し、データベース全体のすべての分類を取得することができます。You can use T-SQL to add/remove column classifications, as well as retrieve all classifications for the entire database.

注意

T-SQL を使ってラベルを管理するとき、列に追加されるラベルが組織の情報保護ポリシー (ポータルのレコメンデーションに表示されるラベルのセット) に存在することの検証は行われません。When using T-SQL to manage labels, there is no validation that labels added to a column exist in the organizational information protection policy (the set of labels that appear in the portal recommendations). したがって、その検証はユーザーが行う必要があります。It is therefore up to you to validate this.

次のステップNext steps