Oracle Database 23aiのOracle Data Redactionでデータを保護 (2024/10/15)

Oracle Database 23aiのOracle Data Redactionでデータを保護 (2024/10/15)

https://blogs.oracle.com/database/post/introducing-data-redaction

投稿者:Richard Evans


今日のデータドリブンの世界では、オンライン・トランザクション処理(OLTP)システムやデータウェアハウスから分析やAIモデルに至るまで、さまざまなアプリケーションを使用することが多く、これらはすべて同じ基礎となるデータにアクセスする可能性があります。これらの多様な環境におけるデータ・プライバシとセキュリティの保護は、特に機密情報にアクセスしているユーザー(使用中のアプリケーション、分析ツールまたは非定型問合せ)に応じて選択的にリダクションする必要がある場合に、困難になる可能性があります。


データ・リダクションが輝く場所です。これにより、様々なアプリケーション、分析ツールまたはアドホック問合せツールで共有機密データをどのように使用するかを制御する一元管理されたセキュリティ・ポリシーによって、列の結果をリダクション(実際のデータを変更せずに非表示)できます。Data Redactionのメリットについて説明します。



主なメリット:


  1. 使いやすさ: データ・リダクションは簡単に実装でき、通常はアプリケーションを変更する必要はありません。データ・リダクション・ポリシーを作成すると、すべての問合せにシームレスに適用され、すべてのデータ・コンシューマに一貫性のあるセキュリティが提供されます。
  2. アプリケーションの独立性: アプリケーションごとに個別のセキュリティ・ポリシーを作成する必要はありません。データ・リダクション・ポリシーは、データベース内で直接管理および適用されるため、多様な環境にわたるセキュリティ管理が簡素化されます。
  3. データ・レイヤー・アプリケーション: リダクションはデータ・レイヤーで実行されるため、データを使用するすべてのアプリケーション、ツール、レポートおよびモデルを対象とします。リダクション・ポリシーは、新しいデータが保護された列に挿入されると自動的に適用され、データの増加に伴ってこのソリューションをスケーラブルにします。
  4. 動的リダクション: データ・リダクションは、動的で、ポリシーで定義された式に基づくことができます。たとえば、ユーザー名、ユーザー・ロール、特定のアプリケーションまたはIPアドレスに基づいて情報をリダクションするポリシーを作成し、様々なユースケースをサポートし、適切な条件下でのみ実際のデータが完全に表示されるようにすることができます。
  5. 移植性: データ・ポリシーとリダクション・ポリシーの両方が、異なる環境間でトランスポータブルです。これにより、よりスムーズな移行、開発およびテスト・サイクルが可能になり、データ保護ルールの一貫性が保たれます。



データ・リダクションのユースケース

規制、業界、組織のセキュリティ目標への準拠


過去10年間に、個人を特定できる情報へのアクセスを制限する大きなプッシュがありました。残念ながら、すべてのソフトウェアがエンドユーザーとの共有からこのデータを簡単に制限できるわけではありません。データ・リダクションは、ここで役立ちます。レポート、問合せまたはツールを変更してデータをリダクションするかわりに、データに対してデータ・リダクション・ポリシーを実装できるため、実際のデータはレポート、問合せまたはツールに戻されません。


たとえば、EMPLOYEES表には、HIRE_DATE、BIRTH_DATE、GENDER、STREET、CITY、STATE、ZIP_CODE、BASE_SALARYなど、いくつかの機密列があります。次のようなポリシーを作成できます。


  • アプリケーション・ユーザーおよびアプリケーション・ロールは、HIRE_DATE列、STREET列、CITY列、STATE列およびZIP_CODE列の実際のデータを表示できます。
  • BIRTH_DATE、GENDERおよびBASE_SALARY列のデータを表示できるのは、アプリケーション・ユーザーのみです。
  • 通常のユーザーは、前述の列データにアクセスできません。



集約、分析、AI環境でデータをリダクション


分析やAIを扱うとき、データは複雑なクエリや関数を通じて集計または処理されます。データ・リダクションを使用すると、集計関数または分析関数でデータが使用されている場合でも機密列をリダクションできるため、分析中のエクスポージャのリスクが軽減されます。データ・リダクションは、異なるアプリケーションやレポート・ツールでデータが使用されている場合に、不正なデータ拡散を防止するのに役立ちます。


たとえば、財務アナリストは、今後12か月以内に与信使用量を予測したいと考えています。次のような列にデータを含めることができます。


CREDIT_SCORE、CREDIT_USAGE、LAST_USAGE、SSN、GENDER、POSTAL_CODEおよびADDRESS。SSN、GENDERおよびADDRESS列はモデルとは無関係であるため、リダクションする必要がある場合があります。データ・リダクション・ポリシーを作成して、モデルのトレーニング時にこれらの列が使用されないようにできます。



データ主権とコンプライアンスのサポート


データ・リダクションは、データ主権イニシアチブのサポートにおいて重要な役割を果たすことができます。CUSTOMER表にデータ・リダクション・ポリシーを作成して、承認されたネットワーク、ホスト、IPアドレスまたはその他の識別コンテキスト外のクライアントからアクセスした場合にデータをリダクションできます。


データ・リダクション・ポリシーを設計する際、式では、Oracle Databaseがセッションについて認識しているコンテキスト情報を使用できます。たとえば、この名前付きポリシー式では、リストされている承認済の本番HRアプリケーション・サーバーの1つでないかぎり、すべてのホストでリダクション済データを表示できます。次に、この名前付きポリシー式をCUSTOMERS表の列またはホストによる同じ制限を強制する他の表に適用できます。


データ・リダクションを使用すると、ポリシーおよび名前付き列式を作成して、機密データをリダクションされていない形式で提供する場所と方法を制御できます。



データ・アクセスのパフォーマンス最適化


ワークロードごとに、データ索引付け、統計収集およびデータ・リダクションのポリシー式に対する様々な戦略が求められます。


たとえば、サポートしているアプリケーションは、常にLAST_NAME列を大文字で検索します。問合せのパフォーマンスを向上させるには、ファンクション索引を適用して、索引内で列を大文字に変換します(UPPER(last_name)など)。


拡張統計を使用して、列間の相関を作成できます。たとえば、頻繁にアクセスされるCITYやZIP_CODEなどの列がある場合、それらの列について収集される統計は、独立してではなく、ペアとして最適化することが理にかなっています。


特定の列を、すべての非管理ユーザーに対して常にリダクションするとします。その場合、問合せ元のユーザーがリダクション・ポリシーから免除されないかぎり、通常は'1=1'のポリシー式関数を使用します。この関数は常にTRUEと評価されます。この条件を使用すると、ポリシー式を評価する必要がなくなるため、リダクションされた列からのフェッチ操作中のCPU時間が節約されます。



まとめ


Oracle Data Redactionは、Oracle Database 23aiの多くの機能の1つで、堅牢で柔軟かつセキュアなデータベース・ソリューションの提供に対するオラクルの取り組みを示しています。データ・リダクションを使用すると、Oracle Databaseのパワーを最大限に活用しながら、機密情報をより効果的に保護できます。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

イメージ
Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し
続きを読む