注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
ベストプラクティス
Sensitive Data Scanner (SDS) は、Foundry の最も強力な機能(マーキングなど)を多数統合し、設定可能に自動化するため、Foundry の基本的な熟練度を持つユーザーによって使用されるべきです。以下は、このツールを使用する際に考慮すべきベストプラクティスとガイドラインの一部です。
計算の最適化
SDS は、全体の名前空間に対してスキャンを設定することができるため、各一回限りまたは定期的なスキャンの計算コスト / 時間についての懸念が生じる可能性があります。計算時間を考える際に考慮すべき要素は2つあります:データセットの数、およびマッチ条件の種類です。 以下に、これらの要素についてのスキャン最適化ガイドラインを提供しています:
(A) スキャン対象のデータセット数を最適化する:
- データがプラットフォームに入る場所だけをスキャンします(これは"境界" データセットとも呼ばれます)。
- コンテンツの感度が既知である場合、スキャン対象から全体のサブフォルダーを除外します。
- 例えば、感度の高いデータの存在を示す PII または PHI マーキングがある場合、スキャン対象から特定のマーキングを持つデータセットを除外します。
(B) 各スキャンに適用されるマッチ条件を最適化する
全データセットに対するコンテンツベースの正規表現検索を実行することは、徹底的で、しばしばリソースを集中的に使用します。SDS は、コンテンツベースの正規表現検索を実行する前に、スキーマを行名の確認に偏ることで計算を最適化します。実際には、以下の正規表現マッチ条件のいずれかを使用している際に、行に基づくマッチの可能性がない場合には SDS がビルドを防止することを意味します:
- 行名のみをマッチ
- 行名とコンテンツの両方をマッチ
マーキング
マーキングへのアクセスの提供は二者択一(全てまたは何もない)です。役割に関係なく、ユーザーは全てのマーキング要件を満たさなければリソースにアクセスできません。マーキングについて詳しく知る。 スキャンがマッチングするデータセットを見つけると、自動的にマーキングを適用します。誤って制限的なマーキングを使用すると、ユーザーが必要とするワークフローから遮断し、修正が難しくなる可能性があります。ユーザーは注意深く、マッチアクションの範囲を特定のサブセットに限定すべきです。
Sensitive Data Scanner の権限モデル
Sensitive Data Scanner は Foundry 内の感度の高いデータを見つけて保護します。権限は慎重に設定されており、ユーザーは SDS を通じてリソース上で許可された行為だけを行うことができます。データガバナンスオフィサーは、全リソースに対する危険なオーナー権限を必要とせずに、全組織のデータを監視することができます。
以下のセクションでは、ユーザーが SDS を使用して Foundry リソースとどのように相互作用できるのかを2つの方法で紹介しています:
- 特定の名前空間の役割を通じて
- 組織のデータガバナンスオフィサーとして指定され、名前空間に対するビューワーの役割を持っている
| アクション | データガバナンスオフィサー + 名前空間ビューワー | 名前空間オーナー | 名前空間エディター | 名前空間ビューワー(のみ) |
|---|---|---|---|---|
| MC & MA の設定 | ✔️ | ✔️ | ||
| 定期的なスキャンの管理 | ✔️ | ✔️ | ||
| 感度の高いデータのスキャンの実行 | ✔️ | ✔️ | ||
| 感度の高いデータのスキャンのキャンセル | ✔️ | ✔️ | ||
| 感度の高いデータのスキャンステータスの表示 | ✔️ | ✔️ | ✔️ | ✔️ |
| MC / MA の表示 | ✔️ | ✔️ | ✔️ | ✔️ |
リソースのオーナーとして、ユーザーは SDS スキャンを完全に制御し、設定の設定やスキャンのキャンセルなど、リソースとの相互作用を管理できます。エディターは、オーナーの好みに基づいて SDS 相互作用をリクエストするだけが可能であり - 例えば、事前に設定されたマッチ条件でのスキャンの実行など、ビューワーは SDS の結果だけを見ることができます。しかし、「データガバナンスオフィサー」の役割は、名前空間のオーナーのようなスキャン権限を与えます。