[Immuta] Sensitive Data Detectionを使用して機密データを自動で把握する

俺はセンシティブでナイーブでデリケートなんだ…
2021.08.12

大阪オフィスの玉井です。

Immutaの強力な機能の1つに、機密データの自動検知(Sensitive Data Detection)があります。今回は、こちらを紹介します。

Sensitive Data Detection(SDD)とは

この機能をONにしておくと、設定以後、Immutaに登録されたデータソースに対して、自動でチェックが走ります。そのチェックによって、機密データと判断されたデータソース(カラム)に対して、機密データということが判断できるタグが付与されるようになります。要するに、動的に機密データかどうか判断してくれる機能ということです。

Immutaはタグとユーザー属性の組み合わせで、色々なデータガバナンスのルールを効かせることができますが、SDDで付与されたタグも、当然ながら使用することができます。つまり、予め機密データ系のタグを使用したポリシーを準備しておけば、今後追加されるデータソースに対して、自動でポリシーを効かせることができるということです。必要最低限の操作で、機密データを保護することができます。

やってみた

この機能は、設定をONにするだけで全てが完了するため、あまり「やってみた感」はありません(ただし、設定できるのはImmutaの管理者のみです)。

設定画面からSDDの設定項目に移動してONにします。2種類ありますが、今回は、Immuta自身の機能を使用する「Internal Sensitive Data Detection」を使ってみます。

ONにした後、新しくデータを取り込んで、チェックしてみます。すると、個人情報等の機密っぽいカラムに対して、どしどしタグが付けられています。

「機密なデータ」みたいな単純なタグではなく、「どういう種類の機密データなのか」が分かるように、細かく付与されていますね。これ、全部自動です。

SDDで付与されたタグを利用したポリシー

上述した通り、これらのタグを使用して、ポリシーを作成することができます。

SDDを有効にしたことで、Templated Policiesというものが、既に2つ作成されていました。これらはStagedというステータスになっており、この時点では実際に有効にはなっていません。こちらをクローン(コピー)して、改めて内容を精査・追加の上、実際に適用していく、という使い方が想定されています。

名称から察する通り、機密データに関する著名な法律に対応したものとなっています。法律自体の詳細については下記をどうぞ。

これらのポリシーの内容は、下記のドキュメントに記載されています。例えばCCPAの場合、「個人が識別できる状態」がマズいので、原則そういうデータは匿名化されるようにルールが組まれています。

おわりに

この機能自体はユーザーが行う作業はほとんどありません。どちらかというと、実際に付与されたタグを確認しつつ、どういうポリシーを組むべきなのかを考えていく…というフェーズが本番ですね。

テンプレートとして用意されているHIPAAやCCPAは、自社の事業によってはそこまで関係ないかもしれませんが、日本は日本で個人情報保護法等があるので、やはり機密データに対するガバナンスを効かせるのは非常に大事かと思われます。