注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

機密データスキャンの作成

一回限りの機密データスキャンと定期的な機密データスキャンは、同じユーザーのワークフローで設定されます。始めるには、Sensitive Data Scannerアプリケーションに移動し、新しい機密データスキャンを作成を選択します。これにより、機密データスキャンを作成する手順が説明された概要ページが開きます。

  1. スキャンするリソースを選択: このセクションでは、スキャンしたいデータセットを指定できます。詳細については、スキャンするリソースの選択を参照してください。
  2. マッチ条件を選択: 現在、ネームスペース内でマッチ条件として利用できる機密データのタイプが必要でない場合は、このセクションからマッチ条件を作成できます。詳細については、マッチ条件の作成を参照してください。
  3. マッチアクションを選択: ネームスペース内でマッチアクションとして存在しないアクションをSensitive Data Scannerに実行させたい場合は、このセクションで新しいマッチアクションを作成できます。詳細については、マッチアクションの作成を参照してください。
  4. レビュー&実行: スキャンを作成する前の最終チェック。

スキャンするリソースの選択

データセットとフォルダーの含める

データセットとフォルダーを含めるの下のリソースを追加を選択することで、明示的にデータセットやフォルダーをスキャン対象に含めることができます。フォルダーを追加すると、そのフォルダー内のすべてのデータセットがスキャンされますが、明示的に除外されている場合は除外されます。このセクションには、少なくとも1つのフォルダー(ネームスペース/プロジェクトを含む)またはデータセットを含める必要があります。

included-datasets-and-folders

データセットとフォルダーの除外

同様に、データセットとフォルダーを除外の下のリソースを追加を選択することで、明示的にデータセットやフォルダーをスキャン対象から除外することができます。フォルダーを追加すると、そのフォルダー内のすべてのデータセットがスキャンから除外されますが、明示的に含まれている場合は除外されません。リソースを明示的に除外する必要はありません(このセクションは空のままにしておくことができます)。

excluded-datasets-and-folders

リソースが含まれても除外されている場合がまれにありますが、最も具体的な含め方や除外方法が優先されます。例えば、データセットは含まれているかもしれませんが、除外されたフォルダーに位置している場合があります。この場合、データセット(含まれる)は親フォルダー(除外)よりも具体的ですので、データセットはスキャンされます。

スキャン戦略

スキャン戦略では、データセットの特定の属性に基づいて、どのデータセットをスキャンするかを指定できます。主なオプションは2つあります。

  • ソースデータセットのみをスキャン: 共通のソースデータセットタイプのみをスキャンできるようにします。これらのデータセットは、一般的にFoundry内の他のデータセットから派生しない新しいデータを表します。ソースデータセットのみをスキャンは、ネームスペース内のすべてのデータセットを必ずしもスキャンしなくても、Foundry内の「データ境界」を監視して機密データを見つけることができるため、推奨されるオプションです。
  • すべてのデータセットをスキャン すべてのデータセットをスキャンし、派生データセットも含みます。スキャンされるデータセットが多いため、このオプションでは実行により多くの計算リソースが必要となります。

以下の例では、Sensitive Data Scannerは「Corporate Risk」ネームスペース内のソースデータセットのみをスキャンします。

scan-strategy

マーキングの含めると除外

データセットとフォルダーを明示的に含めたり除外したりするのと同様に、データセットに対するマーキングに基づいてデータセットを含めたり除外したりすることができます。これは、一般的に既に保護されているデータセットを除外するために使用される高度な機能です。例えば、以下のスクリーンショットでは、PII(個人識別情報)でマークされたデータセットがスキャンされないことがわかります。これは、以前の機密データスキャンでマッチした後にPIIマーキングが適用された可能性があるからです。

scan-strategy

マッチ条件の選択

機密データスキャンを作成する最初の手順は、検索したい特定のマッチ条件を選択し、次にマッチが見つかった場合にSensitive Data Scannerが実行するべき具体的なマッチアクションを選択することです。

select-match-condition

マッチ条件を選択する際には、どのような機密データを探したいか、およびネームスペースですでに利用可能なマッチ条件がどのようなものかを考慮してください。希望する機密データのタイプに対応するマッチ条件がない場合は、新しいマッチ条件を作成することができます。

マッチアクションの選択

マッチアクションを選択する際には、検出された機密データに対して適切な対応を考慮してください。データセットに対してマーキングを適用し、アクセス制御を行うことができますし、問題を作成して機密データが見つかったことを特定のユーザーセットに通知することができます。また、マッチアクションを適用しないことも選択できます。

select-match-actions

適切なマッチアクションがネームスペース内に存在しない場合は、作成することができます。詳細については、マッチアクションの作成を参照してください。

マッチ条件のテスト

機密データスキャンが大量のデータセットを対象としている場合は、マッチ条件をテストすることをお勧めします。設定が誤っているマッチ条件は、データセットに望ましくない問題やマーキングが発生する可能性があります。マッチ条件をテストするには、スキャンにNo Match Actionsを選択してください。スキャンが完了し、マッチ条件がデータの予想される形式と一致することを確認したら、スキャンの概要ページから追加のマッチアクションを適用できます。

追加のマッチアクションの適用を参照して詳細を確認してください。

レビューと実行

機密データスキャンを作成する最終段階では、スキャンの対象となるマッチ条件、マッチアクション、リソースを確認できます。

この手順では、Sensitive Data Scannerは、スキャンのチューニング時に選択したリソースフィルターに基づいて、スキャンに必要なデータセットを計算します。

スキャンを作成する準備ができたら、次のいずれかを行うことができます。

  • 一度だけのスキャンを実行: 指定したリソースフィルター内のすべてのデータセットですぐに実行されます。
  • 定期的な機密データスキャンとして保存: 指定したリソースフィルター内のデータセットに新しいデータが登録されるたびに実行されます。重要なことに、データセットが新しいデータを取得しない場合、定期的な機密データスキャンはデータセットをスキャンしません。データセットは、新しいデータがデータセットに登録されたときにのみスキャンされます。

一度だけのスキャンと定期的なスキャンの両方を実行することができます。これにより、機密データの全体像を把握することができます。

review-and-run

追加のマッチアクションの適用

過去7日間以内に作成された非アクティブなスキャンに対しては、スキャンで検出された機密データに適用する追加のマッチアクションを選択できます。

apply-additional-match-actions

定期的なスキャン

定期的なスキャンの場合、追加のマッチアクションは、追加のマッチアクションが選択された時点までに特定されたマッチにのみ適用されます。スキャンが後で再度アクティブ化された場合、定期的なスキャンで検出された今後の機密データには、以前に選択された追加のマッチアクションが自動的に適用されません。

スキャンの概要ページの下部で、追加のマッチアクションの適用状況を表示できます。

apply-additional-match-action-status

マッチアクションの取り消し

過去7日間以内に作成された非アクティブなスキャンに対しては、スキャンで検出された機密データに適用された以前のマッチアクションを取り消すことができます。問題の作成マッチアクションの場合、この操作によってアクションによって作成された問題が削除されます。マーキングの適用マッチアクションの場合、アクションによって適用されたマーキングが削除されます。

reverse-match-actions

定期的なスキャン

定期的なスキャンでは、マッチアクションの取り消し操作が実行された時点までのアクション結果のみが取り消されます。スキャンが後で再度アクティブ化された場合、定期的なスキャンで検出された今後の機密データに対しても、最初のスキャン設定で設定されたマッチアクションが適用されます。スキャンを再度アクティブにする際に特定のマッチアクションを実行しないようにするには、スキャンの編集でマッチアクションを削除してから、スキャンを再アクティブ化してください。

スキャンの概要ページの下部で、マッチアクションの取り消し状況を表示できます。

reverse-match-action-status