Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
セキュリティとガバナンスCipherはじめに

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

はじめに

このガイドには次のセクションが含まれます:

Cipher チャンネルを作成する

Cipher チャンネルを作成する際、最初に暗号化アルゴリズムを選択してからシークレットを作成するよう求められます。新しい Cipher チャンネルを作成する方法は 2 つあります:

オプション 1: プラットフォームのファイルシステムを通じて Cipher チャンネルを作成する

選択したプロジェクトに移動し、+ New > Cipher Channel を選択して新しい Cipher チャンネルを作成します。選択したアルゴリズムを選びます。暗号化された値で結合を実行するために AES SIV を推奨します。

Channel action

Foundry のファイルシステムで Cipher チャンネルを作成する権限がない場合は、Palantir の担当者に連絡してサポートを受けてください。

オプション 2: Cipher アプリケーションを通じて Cipher チャンネルを作成する

左側のパネルに移動し、Platform Apps > Data Governance の下で Cipher を探し、オプション 1 と同じ手順に従います。

Channel Dialog

暗号化アルゴリズムの選択方法

画面上のガイドが、希望するプロトコルで Cipher チャンネルを作成する手順を案内します。以下は、ユーザーの使用ケースに応じた設定を選択する際に役立つ追加の詳細です:

  • アルゴリズム: Cipher は現在、以下のアルゴリズムをサポートしています:
    • テキストベース: AES_GCM_SIV 確率的暗号化アルゴリズム、AES_SIV 決定論的暗号化アルゴリズム、SHA-256 ハッシュアルゴリズム(ペッパー付き)、SHA-512 ハッシュアルゴリズム(ペッパー付き)。
    • 画像ベース: Visual Obfuscation Image Scrambling

ハッシュと暗号化の主な違いは、暗号化された値はユーザーが適切な権限を持っている場合に復号化できるのに対し、ハッシュされた値は暗号化操作を通じてデオブスクされることや再識別されることはありません。再識別が必要な場合は、暗号化を使用することをお勧めします。

確率的暗号化と決定論的暗号化の主な違いは以下の通りです:

  • 確率的暗号化: 同じ入力は常に異なる出力に繋がります。
  • 決定論的暗号化: 同じ入力は常に同じ出力に繋がります。
  • ハッシュ: 常に決定論的です。

Visual Obfuscation Image Scrambling アルゴリズムは決定論的であり、逆転可能です。

決定論的アルゴリズムと確率的アルゴリズムを選択する際には、以下の点を考慮する必要があります:

  • 暗号化されたデータに対して結合や集計を行う必要がある場合、決定論的なアルゴリズムが必要です。
  • 暗号化したいデータのカーディナリティが低いか、よく知られた統計的分布を持つ場合は、辞書攻撃や統計攻撃のリスクを制限するために確率的なアルゴリズムを選択することをお勧めします。

暗号システムキーの設定方法

画面上のガイドが暗号システムの設定手順を案内します。以前に選択した暗号化アルゴリズムに応じて、機密データを保護するための異なるシークレット形式を選択することができます。

  • シークレット:
    • 暗号化: シークレットからキーを派生させる 2 つのキー取得方法があります:
      • キーストレッチング(推奨): Cipher サービスは、伝統的にキーを強化する方法を適用してシークレットからキーを派生させます。キー ボタンをクリックすることで、ランダムにシークレットを生成することができます。
      • 単一キー: この方法は派生関数を含みません。すでに設計された AES_SIV キーをキーとして使用したい場合に推奨されます。長さ 64 の base64 エンコード文字列として入力する必要があります。
    • ハッシュ: ハッシュシークレット作成:
      • 最低 14 文字でランダムに生成されたコマンドを実行して自分でハッシュシークレットを作成することをお勧めします。
      • または、キー ボタンをクリックしてランダムにシークレットを生成することもできます。
    • Visual Obfuscation: 画像スクランブリングシード:
      • 画像のピクセルを再配置および変更するためのシードを生成するために使用される長くランダムな数値を提供します。

Create cipher channel をクリックすると、Cipher チャンネルの作成プロセスが完了します。

ライセンスを発行する

Cipher ライセンスを発行するには、Cipher チャンネルに移動して Create New Cipher License ボタンをクリックします。

Issue a Cipher License

ユーザーに Cipher ライセンスで許可されている操作へのアクセスを許可するには、ライセンスへの View アクセスを付与します。

3 種類のライセンスから選択できます:

Operational User LicenseData Manager LicenseAdmin License
セルレベルでの監査可能
レート制限を強制できる
列全体の暗号化/復号化に使用される
暗号化キーへのアクセスを実質的に付与⚠️
使用可能な場所
Object Layer (Workshop, Object Explorer, ...)
関数 (see bypassing Checkpoints)
Pipeline Builder
Contour
Code Authoring

Operational User License

Operational User License(以前の "Frontend License")は、Foundry ユーザーが個々の値を暗号化または復号化することを可能にします。

Operational User Licenses の 2 つの設定可能な権限は次の通りです:

  • 個々の値の暗号化/ハッシュ: Foundry アプリケーションを通じた単一値の暗号化またはハッシュ。これにはレート制限カウンターを設定できます。
  • 個々の値の復号化: Foundry アプリケーションを通じた単一値の復号化。これにはレート制限カウンターを設定できます。この設定は、Workshop と Object Explorer などのフロントエンドを通じて特定の暗号化値を表示することをユーザーに許可するのに役立ちます。

レート制限は、設定された期間内に個人が許可される単一値の暗号化操作の数を示すオプションの設定です。制限を超えると、その期間がリセットされるまでブロックされます。

Operational User License を使用して行われた操作は完全に監査可能です。

チェックポイントのバイパス

ライセンスを チェックポイント をバイパスするように許可すると、そのライセンスは、関数 や直接 API コールなど、チェックポイントを表示できない場所で使用できます。このライセンスの使用は依然としてセルレベルで監査可能であり、レート制限があります。

Data Manager License

Data Manager License(以前の "High Trust License")は、Foundry ユーザーが Pipeline Builder や Contour などのツールを使用してデータセットの列全体を暗号化または復号化することを可能にします。この設定は、ポイントアンドクリックツールの恩恵を受けるユーザーや、厳格なセキュリティを求めるユーザーに役立ちます。詳細は Pipeline Builder での Cipher の使用 を参照してください。

Data Manager Licenses の 2 つの設定可能な権限は次の通りです:

  • 列レベルの暗号化/ハッシュ: Pipeline Builder や Contour などのツールを通じたデータセット列の暗号化またはハッシュ化。
  • 列レベルの復号化: Pipeline Builder や Contour などのツールを通じたデータセット列の復号化。

Admin License

Admin License(以前の "Transforms License")は、Foundry ユーザーが Code Repositories でデータセットの列全体を暗号化または復号化し、暗号化キーへのアクセスを許可することを可能にします。

Transforms での操作を許可すると、ユーザーに暗号化キーへのアクセスが実質的に付与されます。このライセンスへのアクセスは、権限の高いユーザーにのみ付与されるようにしてください。

Admin Licenses の 2 つの設定可能な権限は次の通りです:

  • 暗号化/ハッシュ管理: Code Repositories でのデータセット列の暗号化またはハッシュ化および暗号化キーアクセス。
  • 復号管理: Code Repositories でのデータセット列の復号化および復号化キーアクセス。

ウォークスルーガイド

上記の手順に慣れたら、Cipher アプリケーションを使用して暗号化操作を実行する方法を説明するこのチュートリアルを参照してください。

このチュートリアルでは概念的な従業員データを使用しています。このドキュメントで共有されている情報(画像や関連データセットなど)は概念的なものです。

再現手順

開始する前に、概念的な従業員データセット をダウンロードし、Foundry にアップロードします

  1. Cipher チャンネルを作成する: ユーザーのプロジェクトで。
  2. Data Manager License を作成する: 暗号化許可を持つ。
  3. Pipeline Builder で機密列を暗号化する: 新しいパイプラインを作成し、右上隅の + New > Pipeline を選択して従業員データセットを Pipeline Builder にインポートします。次に、作成した Data Manager License を使用して Cipher encrypt トランスフォームを選択し、データセットの Employee_name 列に適用します。列が暗号化されます。暗号化が完了したら、データセットに Employee_number をプライマリキーおよびタイトルとして使用して Object type パイプライン出力を追加できます。 (Pipeline Builder の詳細を参照してください)

Encrypting a column using Pipeline Builder

  1. Object Output の追加: Pipeline outputs の回転アイコンの下の Output settings に移動します。Target ontologyOutput folder を選択して保存をクリックします。このデータセット内の任意のオブジェクトにアクセスすると、以前に暗号化した値のセットが表示できなくなり、表示できないことがわかります。次のステップでは、これらの値を復号化する手順を説明します。

Configuring Ciphertext property type

  1. Operational User License の作成: Cipher チャンネルに戻り、新しい Operational User License を作成し、復号化許可を付与します。このライセンスを使用してオブジェクトの復号化を実行できるようになります。上記と同じ操作を行うと、オブジェクトの値を復号化できるようになります。

Workflow of a decryption request with Cipher