毎年、データ侵害により何百万もの人々の機密データが暴露され、多くの企業が数百万ドルの損失を引き起こしています。 2023 年のこれまでのデータ侵害の平均コストは 4.24 万ドルです。 侵害されたすべてのデータの種類の中で、個人を特定できる情報 (PII) が最も高価です。 その結果、データセキュリティは多くの企業にとって大きな問題となっています。 その結果、多くの企業にとってデータマスキングは機密データを保護するための重要なツールとなっています。 この記事では、動的データマスキングと Salesforce データマスキングの手法とツールについて説明します。
データマスキング(DM)とは何ですか?
データ難読化とも呼ばれるデータ マスキングは、組織のデータの偽の、しかし現実的なレプリカを作成する手法です。 その目的は、機密データを保護すると同時に、ユーザー トレーニング、販売デモ、ソフトウェア テストなど、実際のデータが必要ない場合に機能する代替手段を提供することです。
データ難読化プロセスは、同じ形式を維持しながらデータの値を変更します。 目標は、デコードまたはリバース エンジニアリングできないバージョンを開発することです。 文字のシャッフル、単語または文字の置換、暗号化はすべてデータを変更する方法です。
データマスキングの種類
機密データを保護するために、多くのデータ マスキング タイプが日常的に使用されています。
#1. 静的
静的データ難読化技術は、データベースのクリーンなレプリカの作成に役立つ場合があります。 このメソッドは、データベースの安全なコピーが共有されるまで、すべての機密データを変更します。 通常、このプロセスには、実稼働データベースのバックアップ コピーの作成、それを別の環境にロード、不要なデータの削除、そして静止状態にあるデータの難読化が含まれます。 その後、マスクされたコピーを目的の場所に配信できます。
#2. 決定論的
これには、XNUMX つの値が常に別の値に置き換えられるように、XNUMX つのデータ セットを同じタイプのデータにマッピングすることが必要になります。 たとえば、「John Smith」という名前は、その名前が表示されるデータベースでは常に「Jim Jameson」に置き換えられます。 このアプローチは多くの状況で役立ちますが、本質的に安全性は低くなります。
#3. 急いで
データをディスクに保存する前に、本番システムからテストまたは開発システムに転送されるデータをマスクします。 ソフトウェアを頻繁に導入する組織では、ソース データベースのバックアップ コピーを生成して隠蔽することはできません。本番環境からさまざまなテスト環境にデータを継続的にフィードする方法が必要です。
#4. 動的
オンザフライ マスキングと同様に、開発/テスト環境のセカンダリ データ ストアにデータが保持されることはありません。 代わりに、実稼働システムから直接ストリーミングされ、開発/テスト環境の別のシステムによって取り込まれます。
データマスキング技術
データセット内の機密データを保護するための一般的なデータ マスキング手法をいくつか紹介します。
#1. データの仮名化
名前や電子メール アドレスなどの元のデータ セットを仮名やエイリアスに置き換えることができます。 この手順は可逆的です。データを匿名化しながら、必要に応じて最終的に再識別できるようにします。
#2. データの匿名化
個人をマスクされたデータに結び付ける識別子をエンコードする方法。 その目的は、マスクされたデータの信頼性を維持しながら、ユーザーのプライベートな行動を保護することです。
#3. ルックアップ置換
運用データベースは、元の機密データに代替値を提供する追加のルックアップ テーブルを使用してマスクできます。 これにより、オリジナルを保護しながら、テスト環境で現実的なデータを使用できるようになります。
#4。 暗号化
ルックアップ テーブルは簡単にハッキングされるため、パスワードでのみアクセスできるようにデータを暗号化することが最善です。 データは暗号化すると読み取ることができませんが、デコードすると表示できるため、これを他のデータ マスキング手法と組み合わせる必要があります。
#5. 墨消し
QA または開発に機密データが必要ない場合は、開発およびテスト設定で一般的な値に置き換えることができます。 このシナリオには、元のデータと同様のプロパティを持つ現実的なデータはありません。
#6。 平均化
機密データを個別ではなく平均または集計として反映したい場合は、表内のすべての数値を平均値に置き換えることができます。 たとえば、テーブルに従業員の給与が含まれている場合、すべての給与を平均給与に置き換えることで個々の給与を非表示にすることができ、全体の列には合計給与の真の合計値が反映されます。
#7。 シャッフリング
値をマスクするときに一意性を維持する必要がある場合は、真の値が残り、さまざまな要素に割り当てられるようにデータをスクランブルします。 実際の給与は給与表の例に表示されますが、誰の給与がどの従業員に支払われるかはわかりません。 この戦略は、大規模なデータセットで最も効果的に機能します。
#8. 日付の切り替え
問題のデータに非公開にしておきたい日付が含まれている場合は、各データ フィールドにポリシーを適用して、本当の日付をマスクできます。 たとえば、すべての有効な契約の日付を 100 日前に戻すことができます。 この戦略の欠点は、フィールド内のすべての値に同じポリシーが適用されるため、XNUMX つの値が侵害されるとすべての値が侵害されることになることです。
動的データマスキング
動的データ マスキング (DDM) は、機密データへの不正アクセスを防ぐためにデータベース管理システムで使用されるセキュリティ メカニズムです。 これにより、データベース管理者は、非特権ユーザーに必要なデータへのアクセスを許可しながら、機密データをマスクして機密データの漏洩を防ぐことができます。
DDM は、データベースからデータが検索または取得されるときに、機密データを架空のデータまたは難読化されたデータに置き換えることによってリアルタイムで機能します。 これにより、許可されたユーザーに必要な情報へのアクセスを許可しながら、機密データが特権のないユーザーやプログラムに公開されることがなくなります。
DDM を使用すると、値全体、値の一部、または情報の形式をマスクするなど、さまざまな方法でデータをマスクできます。 たとえば、クレジット カード番号は、最後の XNUMX 桁を除くすべての数字をアスタリスク (*) に置き換えることによって隠すことができますが、社会保障番号は、最初の XNUMX 桁をアスタリスクに置き換えることによって隠すことができます。
DDM は、医療システムや金融システムなど、複数のユーザーまたはアプリケーションが機密データへのアクセスを必要とする状況で特に有益です。 許可されていない個人やアプリケーションへの機密データの公開を防止することで、企業が GDPR や HIPAA などのデータ プライバシー ルールを遵守できるように支援します。
データマスキングツール
データマスキングツールは、複雑な情報の不正使用を防ぐセキュリティツールです。 また、データ マスキング ツールは、複雑なデータを偽のデータに置き換えます。 これらは、エンドユーザーがデータを入力するアプリケーション開発またはテストプロセスのどの部分でも使用できます。
このセクションでは、データの悪用を回避するのに役立ついくつかのツールを検討しました。 これらは、中小企業、大企業、中堅企業で最も人気があり、広く使用されているデータ マスキング ツールです。
最適なデータマスキングツールのリスト
市場で入手可能な最も一般的なデータ マスキング ツールを以下に示します。 次の表は、市場で最高のデータ マスキング ソフトウェアを比較しています。
#1. K2View データマスキング
K2View は、社内で保存中、使用中、転送中の機密データを保護します。 このテクノロジーは、参照整合性を確保しながらデータをビジネス エンティティに独自に編成し、いくつかのマスキング機能を提供します。
#2. IRIフィールドシールド
IRI は、1978 年に設立された米国に本拠を置く独立系ソフトウェア ベンダーであり、CoSort の迅速なデータ変換、FieldShield/DarkShield/CellShield データ難読化、および RowGen テスト データの生成および管理ソリューションで最もよく知られています。 また、IRI は、大規模なデータ管理プラットフォームである Voracity でデータの検出、統合、移行、ガバナンス、分析をバンドルして統合します。
#3. DATPROF – テストデータの簡素化
DATPROF は、データベース テスト用のデータをマスキングおよび生成するインテリジェントな方法を提供します。 これには、データベースを迅速かつ簡単にサブセット化するための特許取得済みのアルゴリズムが含まれています。
使いやすいインターフェースを備えたこのソフトウェアは、複雑なデータ連携を処理できます。 すべてのトリガーと制限を一時的に回避する非常に賢い方法を提供し、市場で最高のパフォーマンスを発揮するツールとなっています。
#4. IRI ダークシールド
IRI DarkShield は、多数の「ダーク データ」ソース内の機密データを同時に検出し、匿名化します。 Eclipse の DarkShield GUI を使用して、自由形式のテキストや C/BLOB DB 列、複雑な JSON、XML、EDI、Web/アプリのログ ファイル、Microsoft ドキュメントや PDF ドキュメントに「隠された」個人識別情報 (PII) を識別、検出、マスクします。 、写真、NoSQL DB コレクションなど。
#5. 積極的なデータの検出とマスキング
Accutive のデータ検出およびデータ マスキング ソリューション (ADM) を使用すると、多くのソースにわたってデータ属性とフィールドが保持されることを保証しながら、重要な機密データを識別して隠すことができます。
Data Discovery は、事前に構成された構成可能なコンプライアンス基準またはユーザー定義の検索用語に基づいて、機密データセットを効率的に識別します。 データ検出の結果をデータ難読化構成に組み込むことも、独自の構成を作成することもできます。
#6. Oracle データのマスキングとサブセット化
Oracle Data Masking and Subsetting は、セキュリティを向上させ、送信を高速化し、IT コストを削減することでデータベース クライアントを支援します。
冗長なデータやファイルを削除することで、テストデータや開発などの作業での重複の除去に役立ちます。 このツールはデータのプロットを推奨し、マスキング記述を採用します。 エンコードされた HIPAA、PCI DSS、および PII ガイドラインを生成します。
Salesforce データマスキング
Salesforce データ マスキングは、Salesforce 組織内の機密データを隠したり、偽のデータや難読化されたデータで置き換えたりするセキュリティ ツールです。 これは動的データ マスキング (DDM) の一種で、機密データが Salesforce 組織からリアルタイムで検索または取得されるときにマスクします。
管理者は、Salesforce データ マスキングを使用して、機密データが含まれるフィールドまたはオブジェクトを指定し、それらのフィールドまたはオブジェクトにマスキング ルールを適用できます。 マスキング ルールは、値全体、値の一部、または値の形式をマスクするように構成できます。
Salesforce データ マスキングを使用すると、権限のない個人やアプリへの機密データの公開を制限することで、GDPR、CCPA、HIPAA などのデータ プライバシー標準に準拠できます。 また、企業が意図的または意図的なデータ漏洩などの内部危険から機密データを保護するのにも役立ちます。
Salesforce データ マスキングは、Salesforce 組織向けに提供されるプレミアム アドオン機能です。 Salesforce Shield プラットフォームを使用してカスタマイズでき、イベント監視、暗号化、コンプライアンスレポートなどのセキュリティ機能が追加されます。
全体として、Salesforce データ マスキングは、データ プライバシー ルールを遵守しながら、Salesforce 組織内の機密データを保護する必要がある企業にとって有用なソリューションです。
データマスキングのベストプラクティス
#1. プロジェクトの範囲を確立する
企業は、データ難読化を適切に実行するために、どの情報を保護する必要があるか、誰がその情報にアクセスできるか、どのアプリがデータを使用するか、本番ドメインと非本番ドメインの両方でデータがどこに存在するかを理解する必要があります。 これは紙の上では単純なプロセスに見えるかもしれませんが、運用とさまざまな事業部門が複雑であるため、多大な作業が必要になる場合があり、プロジェクトの別の段階として設計する必要があります。
#2. 参照整合性の維持
参照整合性では、ビジネス アプリケーションから発生する各「タイプ」の情報が同じアルゴリズムでマスクされることが必要です。
単一のデータ難読化ソリューションを企業全体で利用することは、大企業では実現できません。 予算/ビジネス要件、さまざまな IT 管理手順、またはさまざまなセキュリティ/規制要件のため、各事業部門が独自のデータ難読化を開発する必要がある場合があります。
#3. データマスキングアルゴリズムの保護
データ生成アルゴリズムを保護する方法や、データを難読化するために使用される代替データセットや辞書を保護する方法に取り組むことが重要です。 許可されたユーザーのみが実際のデータにアクセスできるようにする必要があるため、これらのアルゴリズムは細心の注意を払って扱う必要があります。 どのような繰り返しのマスキング戦略が使用されているかを発見した人は、機密情報の大きなブロックをリバース エンジニアリングできます。
マスキングの概念とは何ですか?
マスキングとは、機密データを望まないアクセスや暴露から保護するために、情報を隠蔽または偽装する行為です。 マスキングは、個人を特定できる情報 (PII)、クレジット カード番号、財務情報など、さまざまな種類のデータに対して使用できます。
データマスキングと暗号化の違いは何ですか?
データ難読化と暗号化は両方とも機密データを保護するために使用されますが、それらは異なる目的を果たし、異なる方法で動作します。
データ難読化と暗号化の主な違いは、マスキングではマスキング自体以上のセキュリティは提供されませんが、暗号化では、権限のないユーザーがデータを読み取れないようにすることで高レベルのセキュリティが提供されることです。
データマスキングとデータ隠蔽の違いは何ですか?
データ マスキングとデータ隠蔽は、機密データを保護するための XNUMX つのアプローチであり、それぞれ異なる方法で機能します。
データ マスキングとデータ隠蔽の主な違いは、マスキングでは承認されたユーザーがデータにアクセスできるのに対し、隠蔽ではすべてのユーザーが機密データを取得することが禁止されることです。 データ難読化は、開発環境やテスト環境など、承認されたユーザーが機密データへのアクセスを必要とする場合によく使用されますが、データ隠蔽は、運用環境など、すべてのユーザーから機密データを保護するために使用されます。
XNUMX つのデータ マスキング方法とは何ですか?
機密データを保護するために利用できるさまざまなデータ難読化方法がありますが、最も有名なものの XNUMX つは置換とシャッフルです。
- 代用。
- シャッフリング
置換とシャッフルは両方とも、データベース管理、アプリケーション開発、データ分析などのさまざまなシナリオで機密データを保護するために使用できます。
SQL でデータをマスクするにはどうすればよいですか?
組織のニーズとデータが使用されるコンテキストに応じて、SQL でデータをマスクする方法がいくつかあります。 一般的な SQL データ難読化方法をいくつか示します。
- REPLACEコマンドの使用
- SUBSTRING関数を利用する
- カスタム関数を活用する
Excel でデータをマスクするにはどうすればよいですか?
Excel でデータをマスクする方法は、組織のニーズやデータが使用される環境に応じて多数あります。 一般的な Excel データ難読化方法をいくつか示します。
- 独自の数値形式の使用
- SUBSTITUTE機能を活用する
- 乱数発生器の利用
データマスキングはなぜ必要なのでしょうか?
データ難読化は、許可されたユーザーが必要な情報を取得できるようにしながら、機密データを望ましくないアクセスや漏洩から保護するために必要です。 たとえば、個人識別情報 (PII)、財務データ、医療記録は、個人情報の盗難、詐欺、またはその他の有害な目的にデータを使用する攻撃者や悪意のある内部関係者にとって、有利なターゲットとなる可能性があります。
まとめ
データマスキングは、世界中の企業がプライバシー要件に準拠するために利用するテクノロジーの柱に進化しました。 データ難読化は長年にわたって実践されてきましたが、構造化データと非構造化データの膨大な量と絶えず変化する規制環境により、企業規模でのデータ難読化の複雑さが増大しています。
現在のデータ難読化ベンダーの製品は不十分であることが判明しています。 一方、新しいエンティティベースの技術は、世界のトップ企業の一部でデータ難読化の標準を確立しつつあります。
関連記事
- デューデリジェンス中に仮想データルームを使用する 4 つの利点
- Analytics SERVICE: データ分析サービスのガイド
- データ管理プラットフォーム: DMP と最適なプラットフォームとは
- ビッグデータとは: 定義、仕組み、重要な理由
- ビッグデータ エンジニアとは何ですか?どうすればなれるのですか?
参考文献
