Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
セキュリティとガバナンスManagement"Propagate view requirements" 設定の移行と無効化
Warning

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

"Propagate view requirements" 設定の移行と無効化

Sunset

2023年6月以降、「Propagate view requirements」セキュリティ設定の使用は、ほとんどのお客様に対して無効化されます。「Propagate view requirements」機能の廃止が予定されているお客様は、下記のガイドに従って、この機能の利用をやめて プロジェクト および マーキング に移行することを強くお勧めします。これにより、セキュリティの可読性と管理が向上します。

概要

プロジェクトで「Propagate view requirements」設定が有効になっている場合、プロジェクト内の各データセットでは、ユーザーがこのプロジェクト内または別のプロジェクト内にある下流のデータセットにアクセス権限を持っている必要があります。

「Propagate view requirements」設定を無効にし、必要に応じてマーキングに置き換えることをお勧めします。 「Propagate view requirements」設定とは異なり、マーキングは基礎となるデータを表示するための必要条件をより明確に定義します。一部のデータセットのみが機密データを含む場合は、それらの特定のデータセットに適切なマーキングを追加してください。プロジェクト全体が機密性のある場合は、プロジェクトレベルでマーキングを追加してください。

以下に、「Propagate view requirements」設定から移行するための手順の概要を示します。

  1. Upgrade Assistant アプリケーションで始め、移行が必要なプロジェクトを選択します。
  2. 移行オプションを検討し、状況に最適な方法を決定します。
  3. 移行を実行します。
  4. プロジェクトで「Propagate view requirements」を無効にします。
  5. Upgrade Assistant に戻り、このプロジェクトに関連する保留中のアクションがなくなったことを確認します。

移行手順

1. Upgrade Assistant

Foundry の Upgrade Assistant アプリケーションにアクセスし、「Propagate view requirements」が有効になっている特定のプロジェクトを選択して、移行プロセスを開始します。

upgrade-assistant

2. 選択したプロジェクトの移行方法を選択する

「Propagate view requirements」設定の使用から移行する方法はいくつかあります。どの方法を選択するかは、データの機密性、プラットフォーム上にすでに存在するプロジェクトとマーキング、およびエンタープライズのセキュリティアーキテクチャによって異なります。次の手順を決定するのに役立つ移行オプションと質問のリストを以下に示します。プライバシーに関する重大な意味があるため、提供されたすべてのオプションを読むことを強くお勧めします。

機密データの分類

まず、プロジェクトに機密データが含まれているかどうかを判断します。コンテキストが重要です。特定のデータが機密と見なされるかどうかは、組織の関連するプライバシー規制および基準によって異なります。

Palantir での機密データは、広く分類されるデータおよび/または追加のセキュリティが必要なデータとして定義されます。一部の法律では、特定のデータ要素を正式に機密として指定します(たとえば、EU の一般データ保護規則 ↗)。一方、データオーナーや法的地位に関係なく一般的に認識されているものによって決定されることもあります(たとえば、社会保障番号)。データが機密として分類されるかどうかは、通常、データのタイプや分類(たとえば、個人情報(PII))、ワークフローのタイプ(特定の目的に限定されたものなど)、またはアクセス制御が制限される可能性のあるコンテンツによって異なります。

前述のように、機密データの一般的な例は、個人情報(PII)であり、これには直接識別子や個人を再識別または特定するために使用できる他の情報が含まれます。

ここで、プロジェクト内のデータへのアクセスを制限する必要がある場合、それによって下流のデータセット、オブジェクト、またはリソースへのアクセスも制限されるケースを特定します。プロジェクト内のデータに PII プロパティがない場合は、プロジェクトで 「Propagate view requirements」設定を無効にする に進むことができます。

プロジェクト内にデータの機密性がある場合は、それらをカテゴリー別に分類します。たとえば、「このプロジェクトのデータセット X、Y、Z には PII が含まれており、データセット A、B、C には金融情報が含まれています」とします。

機密データにマーキングが適用されているかどうかを確認する

マーキング は、Foundry のセキュリティコントロールで、ユーザーへの可視性とアクションの制限を定義する適格性基準です。

「Propagate view requirements」設定と同様に、マーキング は下流のデータセットやリソースに伝播するセキュリティプリミティブです。このプロジェクトで「Propagate view requirements」設定をオフにするかどうかを検討する際、プロジェクト内の機密データが適切なマーキングで保護されているかどうかを確認することをお勧めします。この場合、 「Propagate view requirements」をオフにすることが適切です。

データセットのマーキングを確認するには、Data Lineage アプリケーションを使用します。まず、プロジェクト内の1つ以上のデータセットをグラフに追加します。次に、Permissions ノードカラーオプションを選択します。マーキングで保護されたリソースの隣に、シールドアイコンが表示されます。ノードを選択し、右側のサイドバーで Access Information を選択して、そのノードのマーキングに関する詳細を展開します。

例えば、「Propagate view requirements」設定が有効になっているプロジェクトで、機密データのカテゴリが1つだけであり、プロジェクト内の関連データセット全体に PII マーキングが適用されている場合(直接またはデータ依存関係やファイル階層から継承した場合)、 「Propagate view requirements」設定はおそらく冗長であり、プロジェクトで安全に無効化 できます。

データの機密性が上流で導入されるか、またはこのプロジェクト内で導入されるかを判断する

プロジェクトに機密データがあり、そのデータが マーキング で保護されていない場合、「Propagate view requirements」設定を無効にする前に、マーキングを適用して下流のデータが継続的に伝播するセキュリティコントロールによって保護されるようにすることをお勧めします。

ただし、プロジェクトが necessデータにマーキングを適用する正しい場所であるとは限りません。

以下の例では、「Propagate view requirements」設定が有効になっているプロジェクト内の機密データセットにマーキングが適用されていません。ただし、機密データセットは実際には上流のデータセットから派生しています。

Data Lineage グラフで示されているように、機密データは上流のデータセットから来ています。

アプローチ1(誤り): このプロジェクト内の機密データに直接マーキングを適用すると、上流のデータが正しくマークされません。これは、セキュリティの可読性に影響を与えます。

プロジェクト内の機密データに直接マーキングが適用されました。

アプローチ2(推奨): 代わりに、上流 データにマーキングを適用すると、マーキングは自動的にこのプロジェクトのデータに伝播されます。両方のデータセットが正しくマークされます。

上流のデータセットにマーキングが適用され、下流の機密データに伝播しました。

プロジェクト内の機密データがマーキングで保護されるべきである場合、可能な限り上流でデータを保護するようにして、プラットフォーム内で機密データが一貫して保護されるようにします。上流で適切なアクションを実行した後、プロジェクトに戻り、移行を続行してください。

既存のマーキングを再利用する(適切な場合)

プロジェクトが機密データの起源(最も上流の場所)であり、そのデータがマーキングで保護されていない場合、プロジェクトは、「Propagate View requirements」設定の代わりにデータにマーキングを適用する場所として適切である場合があります。機密データのカテゴリごとに、プラットフォーム上にすでに存在するマーキングがこのデータを正しく表すかどうかを 確認します

データガバナンスの観点から、データが PII であり、プラットフォーム上に既に PII マーキングがある場合、新たに PII マーキングを作成する代わりに、既存のマーキングを適用することをお勧めします。これにより、ユーザー認証を一元管理できます。

継続して移行する 前に、再利用する予定のマーキングについて決定を記録してください。

新しいマーキングを作成する

プロジェクト内の機密データのタイプに適切なマーキングが存在しない場合は、新しいマーキングを作成することを検討してください。これは、以下の条件が真である場合にのみ必要です。

  • プロジェクト内のデータはユニークであり、使用できる既存のマーキングがありません。
  • データはプロジェクト内で発生します。そうでない場合は、データが派生する上流のデータセットにマーキングを適用する必要があります。

決定を記録し、以下のセクションで説明する手順に従って移行を完了します。

3. 移行の完了

次のセクションでは、上記で説明したオプションを考慮して移行を完了する方法について説明します。

「Propagate view requirements」を無効にする

アクションは必要ありません。 4. プロジェクトの「Propagate view requirements」を無効にする に進んでください。

既存のマーキングを適用する

プロジェクト内の特定のカテゴリ(たとえば、PIIを含むデータセット)の機密データセットへのアクセス権を持つすべてのユーザーを、既存のマーキング(PII)のメンバーとして追加します。これにより、移行後もプロジェクトへのアクセスが失われることはありません。ただし、ユーザーが既存のマーキングのメンバーに追加されると、プラットフォーム全体でこのマーキングが適用されたすべてのデータが表示される可能性があることに注意してください。

既存のマーキングを適用する前に、マーキングを適用する手順 を確認してください。マーキングを適用して他の下流ユーザーをロックアウトする可能性のある下流への影響を検討してください。

準備ができたら、それを必要とするリソースのセットにマーキングを適用します。プロジェクト内に機密データのカテゴリが1つだけであり、すべてのデータがそのカテゴリに属している場合は、プロジェクト自体にマーキングを適用してください。それ以外の場合は、機密データセットに直接マーキングを適用するか、それらが共有されている親フォルダーに適用してください。

新しいマーキングを作成する

まず、新しいマーキングを作成 します。次に、その新しいマーキングのメンバーとして、データの説明にアクセスする必要があるすべてのユーザーおよび/またはグループを追加します。これにより、移行後もアクセスが失われることはありません。

マーキングを適用する方法を確認する前に、手順を確認 してください。

4. プロジェクトで「Propagate view requirements」を無効にする

プロジェクト内の機密データのタイプの数だけ 移行を完了 した後、プロジェクトビューの右側のパネルの Settings タブから「Propagate view requirements」設定を必ず無効にしてください。

「Propagate view requirements」設定を無効にした後、再度有効にすることはできません。

プロジェクトの「Propagate view requirements」設定を無効にします。

5. アクションが完了したことを確認する

Upgrade Assistant に戻り、このプロジェクトに関連する保留中のアクションがなくなったことを確認してください。