Immuta概要まとめ2023 – Immutaで何が出来るのか、Immutaを使うメリットなどを紹介 #Immuta

モダンデータスタック(MDS)

#Immuta

しんや

2023.06.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

アライアンス統括部サービスグループのしんやです。

クラスメソッドは「関連する(フルマネージドなクラウド)サービスを組み合わせることによって実現するデータ分析基盤＝モダンデータスタック」のサービスをお客様のニーズに合わせて提供しています。

現時点(2023年06月初頭)ではその中のサービスとしては含まれてはいないのですが、現在クラスメソッド社内でも非常に注目度が高い「モダンデータスタック(MDS)」関連サービスの1つである「Immuta」について、「Immutaとはどういうサービスなのか、使うことで何が嬉しくて何が出来るようになるのか」を既存ブログエントリや公式ドキュメントを踏まえて把握し、現時点での「Immuta概要まとめ」的なエントリとして残しておこうと思います。

先人の記録からImmutaを知る

まずは過去、当ブログにて執筆されたImmuta関連エントリから、概要を把握する上で有用となるものを幾つか見ていきたいと思います。

2023年06月の当ブログ投稿時点で展開されているDevelopersIOのImmuta関連エントリは計7本あります。ボリューム的にはまだまだこれから、ブログの書き甲斐(サービスの検証し甲斐)のあるカテゴリですね。

Immuta の記事一覧 | DevelopersIO

DevelopersIOにおけるImmutaブログ1本目となる下記エントリではざっくり概要とSnowflakeを対象とした初期設定について言及されています。Immutaを知るための第一歩としてオススメです。

Immutaの「中の人」が登壇・発表したセッションのレポートも、Immutaがどういうものなのか、どういう動きなのかを確認するのに良いと思います。

公式ドキュメントから「出来ること」「メリット」を知る

Immutaの公式サイトは以下。ここからImmutaの特徴やメリット等について見ていきます。

Immutaは「データセキュリティプラットフォーム(Data Security Platform)」です。「機密データの検出」「セキュリティとアクセス制御」「アクティビティの監視」の機能によって、組織はクラウドデータから「価値」を引き出すことが出来るようになります。また、

また、Immutaを使うことでデータセキュリティの向上と操作の簡略化も見込め、組織は適切なデータを適切なメンバーに提供出来るようになり、結果としてより多くの新しい収益源を生み出す様々な活動に繋げることが出来ます。

Immutaはクラウド環境にシームレスに統合出来るように設計されており、主要なクラウドベンダーとのネイティブな統合を提供しています。

政府機関「米国国立標準研究所（National Institute of Standards and Technology, NIST）」が2014年に発行した「NISTサイバーセキュリティフレームワーク」に従い、Immutaはほとんどの組織のデータセキュリティニーズの大部分をカバーしています。

データの発見と分類

Immutaの「機密データのデータディスカバリーと分類」に関する機能を活用する事で、以下の事が可能となります。

機密データのスキャンと分類
- 手作業無しで、何百万ものフィールドから機密データを検出
- 60 を超える事前構築済みのドメイン固有の分類子を使用して、希望する信頼レベルに基づいて独自のビジネスニーズに合わせてデータ分類を調整可能
自動データタグ付け
- データが適切に識別され、タグ付けされていることを証明するワークフロー機能により、異なるチーム間でタグを検査出来るようになる
データソースプロファイリング
- PII、PHI、その他の機密指標などのさまざまな要素の登録タグをプロファイリングすることにより、機密データのフットプリントを評価
  - PIIとは？個人を特定できる情報とセキュリティ対策 | Proofpoint JP
  - HIPAA コンプライアンスとは? 法律・規定や制限 | Proofpoint JP
IDメタデータの同期
- Okta などの外部 ID 管理ソリューションで簡単に認証し、ユーザーグループと属性をImmutaに統合して、ポリシーの適用を簡素化
データカタログの統合
- AlationやCollibraなどの外部カタログと統合し、タグをデータソースに簡単に適用して分類を合理化
スキーマの変更状況を監視
- データソースのテーブルまたは列の変更を自動的に監視して、ソースデータとImmutaの同期を維持し、異常な変更を検出

データセキュリティとアクセスコントロール

Immutaの「データセキュリティとアクセス制御」に関する機能を活用することで、以下の事が可能となります。

平易な言語ポリシーエディター
- セキュリティとガバナンスのすべての関係者が、専門のエンジニアリングリソースを必要とせずにデータがどのように保護されるかを理解可能に
リアルタイムのポリシーオーケストレーション
- ポリシーを一度作成すれば、チームや地域全体でリアルタイムにどこにでも適用可能
- ポリシーをプラットフォームから分離することで、全てのクラウドテクノロジーにポリシーが一貫して適用されるため、データがどこに存在するかに関わらずデータが適切なポリシーでカバーされることを期待出来る
属性ベースのアクセス制御
- 属性ベースのアクセス制御(ABAC)を使用してポリシーの適用を拡張
- 地理、部門、目的などの属性を使用してアクセス権を決定し、1つのABACポリシーで100を超えるロールベースのアクセス制御(RBAC)ポリシーを置き換えることが可能に
動的データマスキング
- データマスキングを動的に適用して内部および外部のデータを保護
- コーディングやデータのコピーが不要なため、プライバシーを損なうことなく機密データを簡単に利用可能に
データプライバシー管理
- 匿名化やランダム化された応答などの高度なプライバシー強化テクノロジー (PET) を実装して、GDPR や HIPAA などの規制への準拠を実現
- 専門的なスキルセットやデータコピーは不要

継続的なデータセキュリティ管理

Immutaの「継続的なデータセキュリティ管理」に関する機能を活用することで、以下の事が可能となります。

アクセス行動分析
- データアクセス動作、クエリ履歴、機密データインジケーター、構成と分類の変更について、Immutaの画面上で詳細なインサイトを得ることが可能
アジャイルなリスク重大度スコアリング
- 詳細に視覚化された内訳によってデータの機密レベルとリスクプロファイルを理解できるため、脅威を軽減するための安全策を積極的に導入可能
機密データのビューとインジケーター
- 個々のユーザーとデータアクティビティを詳細に分析し、時間枠、データアクセスイベントカテゴリ、最もアクティブなデータソース、機密データインジケーター等、幾つかの要素にわたる使用状況の要約を参照可能
SIEM統合
- SplunkやSnowflake等のSIEMテクノロジーと簡単に統合して、データセキュリティ体制の管理を統合および合理化
  - SIEMとは？ SIEMの意味・メリットをわかりやすく解説 | Splunk

対応データソース

ここまで見てきた「機能」や「出来ること」が対象とするデータソースにはどのようなものがラインナップされているのでしょうか？「Immuta Data Sources」で"これらが接続出来るデータソースのリストです」的なページを探してみたのですがそのものズバリ的なものは見つかりませんでした(探し方が悪かったのかもしれない)。

公式ドキュメントを探してみると「dbt Cloudを使ったデータソース接続」というリソースがあり、ここでは「Databricks or Databricks SQL」「BigQuery」「Snowflake」「Redshift」がリストアップされていました。(ただしこの機能はまだプレビュー段階のようです)