動的データ マスクの構成

完了

SQL Database 動的データ マスク (DDM) を使うと、機密データの開示を非特権ユーザーに対してマスクすることで制限することができます。

動的データ マスクでは、公開するデリケートなデータの量を指定することで、デリケートなデータに対する未承認のアクセスを防ぎ、アプリケーション レイヤーへの影響は最小限に抑えられます。 これはポリシー ベースのセキュリティ機能です。これにより、データベース内のデータはそのままで、指定されたデータベース フィールドに対するクエリの結果セットで機微なデータを非表示にすることができます。

たとえば、コール センターのサポート担当者は、クレジット カード番号の一部の数字から電話の相手を特定できますが、このようなデータ項目をサポート担当者にすべて公開してはなりません。 クエリの結果セットのクレジット カード番号の末尾 4 桁を除くすべての数字をマスクするマスク ルールを定義できます。 別の例として、開発者は、適切なデータ マスクを定義し、個人データを保護し、法令遵守規定に違反することなくトラブルシューティングの目的で運用環境に対して照会を行うことができます。

動的データ マスキングの基礎

SQL Database の構成ブレードまたは設定ブレードで動的データ マスク操作を選ぶことにより、Azure Portal で動的データ マスク ポリシーを設定します。 Azure Synapse のポータルを使ってこの機能を設定することはできません。

動的データ マスク ポリシー

  • マスクから除外する SQL ユーザー - SQL クエリの結果でデータがマスクされない SQL ユーザーまたは AAD の ID のセット。 管理者特権を持つユーザーは常にマスクから除外され、マスクのない元のデータを表示することができます。
  • マスク ルール - マスクされる指定のフィールドと使用されるマスク関数を定義するルールのセット。 データベースのスキーマ名、テーブル名、列名を使用し、指定のフィールドを定義できます。
  • マスク関数 - さまざまなシナリオに対応してデータの公開を制御する方法のセット。

Dynamic Data Masking using the Azure portal

DDM の推奨エンジンでは、データベースの特定のフィールドに「機密データの可能性あり」の注意が付けられます。この注意を参考にマスク候補を選択できます。 ポータルの [動的データ マスク] ブレードでは、データベースの推奨される列を確認できます。 1 つまたは複数の列の [マスクの追加] をクリックし、 [保存] をクリックするだけでそれらのフィールドにマスクを適用できます。