ベストプラクティス

Sensitive Data Scanner（SDS）は、Foundry の最も強力な機能（マーキングなど）の多くを統合する設定可能な自動化を行い、したがって、Foundry の基本的な熟練度を持つ人々によって使用されるべきです。以下に、このツールを使用する際に念頭に置くべき一連のベストプラクティスとガイドラインを示します。

コンピュートの最適化

SDS は、全体の space をスキャンするように設定できるため、一回限りのスキャンや定期的なスキャンのそれぞれのコンピュートコスト/時間について懸念が生じるかもしれません。コンピュート時間について考えるときに考慮すべき2つの要素があります：データセットの数と、マッチ条件のタイプです。我々は、これら2つの要素についてのスキャン最適化ガイドラインを以下に提供しています：

(A) スキャンされるデータセットの数の最適化:

データがプラットフォームに入力される場所だけをスキャンします（"boundary" datasetsとも呼ばれます）。
既知の内容の感度が既知である場合、スキャンされる全てのサブフォルダーを除外します。
例えば、PII や PHI のマーキングが敏感なデータの存在を示している場合、スキャンから特定のマーキングを持つデータセットを除外します。

Sensitive Data Scanner のスキャンフィルターのスクリーンショット

(B) 各スキャンに適用されるマッチ条件の最適化

全体のデータセットに対して内容ベースの正規表現検索を実行することは、徹底的で、しばしばリソースを大量に消費します。SDS は、内容ベースの正規表現検索を行う前に、スキーマをチェックして列名を確認することを優先することにより、コンピュートを最適化します。実際には、これは SDS が以下の正規表現マッチ条件のいずれかを使用しているときに、列に基づいてマッチの可能性がない場合にはビルドを防止するということを意味します：

列名のみをマッチさせる
列名と内容の両方をマッチさせる

マーキング

マーキングへのアクセスの提供はバイナリ（全てか無いか）です。役割に関係なく、ユーザーは全てのマーキング要件を満たさない限り、リソースにアクセスできません。Markings についての詳細。スキャンがマッチしたデータセットを見つけると、自動的にマーキングを適用します。誤って制限的なマーキングを使用すると、ユーザーが重要なワークフローからブロックされ、修正が難しくなることがあります。ユーザーは慎重になり、マッチアクションの範囲を特定のサブセットに限定するべきです。

アクセス制限警告を含む選択されたマッチアクションのスクリーンショット

Sensitive Data Scanner のパーミッションモデル

Sensitive Data Scanner は Foundry 内の敏感なデータを見つけて保護します。パーミッションは慎重に設定されており、ユーザーは SDS を使用して自分が許可されていることだけを行い、リソースに対する個々のパーミッションを超えることはありません。データガバナンスオフィサーは、全てのリソースにリスキーなオーナーパーミッションが必要なく、組織全体のデータを監視することができます。

次のセクションでは、ユーザーが SDS を使用して Foundry リソースとどのように相互作用することができる2つの方法を提示します：

特定の Space Roles を通じて
組織の Data Governance Officer として指定され、スペースに対するビューワーの役割を持つ

アクション	データガバナンスオフィサー + スペースビューワー	スペースオーナー	スペースエディター	スペースビューワー（のみ）
MC & MA の設定	✔️	✔️
定期的なスキャンの管理	✔️	✔️
敏感なデータのスキャンの実行	✔️	✔️
敏感なデータのスキャンのキャンセル	✔️	✔️
敏感なデータのスキャンステータスの表示	✔️	✔️	✔️	✔️
MC / MA の表示	✔️	✔️	✔️	✔️

リソースオーナーとして、ユーザーは SDS スキャンを完全に制御し、リソースとの相互作用を管理することができます。これには、設定の構成やスキャンのキャンセルが含まれます。エディターは、オーナーの好みに基づいて SDS 相互作用をリクエストすることしかできません - 例えば、事前に設定されたマッチ条件でスキャンを実行するなど、ビューワーは SDS の結果のみを見ることができます。しかし、"Data Governance Officer"の役割は、スペースオーナーと同様のスキャニング権限を付与します。