現在のサイバー脅威からデータを保護し、セキュリティを守らなければならないからといって、アクセス制限が必要だということにはなりません。MarkLogicでは、きめ細かなアクセス制御、権限の適切な分離、データの匿名化により、データを安全に共有できるようにします。

MarkLogicのアドバンスセキュリティ機能の使用方法

MarkLogicでは、必要とされる業界標準のセキュリティを標準機能として提供しますが、次の3つの追加機能を備えたアドバンスセキュリティのオプションが必要になる場合もあります。

  • 外部鍵管理:暗号鍵の格納・管理を容易にし、暗号鍵に対する懸念を払拭します。このオプションは、すでに使用中の外部鍵管理システム(KMS)を活用したい場合に便利です。
  • リダクション:データを共有するためにエクスポートする際、特定のデータを削除や匿名化を行います。この機能は、コンプライアンスガイドライン(HIPAA、SEC17a-4、FSEC17a-4、FINRA、GDPRなど)の順守においても役立ちます。
  • コンパートメントセキュリティ:データ閲覧用の権限について、複数のロールを持つことをユーザーに義務付け、データアクセスをさらに制限します。多くの政府機関システムで機密情報を保護するために採用されています。

外部鍵管理

MarkLogicでは、ストレージ環境でKMIP 1.2(Key Management Interoperability Protocol)準拠のサードパーティのKMSシステムと相互運用し、ストレージシステムの自己暗号化ディスクで使用される認証鍵を安全に管理します。VormetricとSafeNetは、KMIP準拠システムの例です。この追加のセキュリティレイヤーは次のとおりです。

  • 鍵管理 :鍵の交換、無効化、削除に使用します。
  • アクセス制御:未承認のデータベース管理者、システム管理者、ストレージ管理者は、データベースファイルにアクセスできません。暗号鍵のアクセスを制御できるのは外部KMS管理者のみです。

リダクション

リダクション

実装に際しては、MarkLogicセキュリティ管理者がデータのリダクション(削除ポリシー)を策定し、削除しなくてはならない機密データの定義ルールなどを決め、データエクスポート時にはどのポリシーを選択するかを決定します。セキュリティ管理者は、ビルトインのルールやカスタムのルールを組み合わせ、さまざまなターゲットのニーズに応じたポリシーを作成できます。

さまざまなタイプのリダクションに対応したビルトイン機能:

  • Concealing:要素や値(JSONの場合はプロパティや値)を隠します。
  • Masking:ランダムマスキング(インスタンスごとに値が変わる)、決定論的マスキング(毎回同じ値を適用)、または辞書マスキング(指定した辞書の値を適用)を使用してデータを変更します。
  • Patterns:社会保障番号、米国の電話番号、メールアドレス、IPv4、正規表現などのパターンを使用してデータを変更します。
  • Custom:サーバーサイドJavaScriptまたはXQueryの関数を使用して、独自のルール(18歳未満の場合は名前を削除するなど)を適用します。

ユーザーが実行するルールとアクションはすべて記録されるため、すべてのエクスポートアクティビティを後日監査できます。

データ削除(リダクション)は、大規模な一括エクスポートを実行する際に使用できるよう設計されています。また、mlcp(MarkLogic Content Pump)を使用すると、アプリケーションレイヤーで実装したソリューションよりも処理速度と安全性が向上します。

コンパートメントセキュリティ

コンパートメントセキュリティは、ANDセマンティックまたはORセマンティックを使用して、ドキュメントを操作するために必要なロールを、1つだけではなくすべて持つことをユーザーに義務付け、セキュリティ制御を強化します。

MarkLogicでは、コンパートメントはロールに関連付けられている名前です。ロールがコンパートメント化されると、データベースのドキュメントのアクセスまたは作成のユーザー権限を判断する場合に、コンパートメント名が追加のチェックとして使用されます。コンパートメントセキュリティがないと、ORセマンティックを使用してパーミッションがチェックされます。

一例として、ドキュメントにrole1とroke2の読み取りパーミッションがある場合、role1またはrole2のいずれかを所有するユーザーがそのドキュメントを読み取ることができます。これらのロールに異なるコンパートメントが関連付けられている場合(例えばcompartment1とcompartment2がそれぞれ関連付けられているなど)、パーミッションは、コンパートメントごとにANDセマンティックを使用してチェックされ、コンパートメント化されていないロールごとに、ORセマンティックを使用してチェックされます。role1とrole2が異なるコンパートメントにある場合に、ドキュメントにアクセスするには、ユーザーがrole1とrole2の両方を所有し、コンパートメント化されていないロール(そのドキュメントの対応するパーミッションを持つロール)を所有している必要があります。

関連リソース

データシート
アドバンスセキュリティ

詳細はこちら

マニュアル
セキュリティの概要

セキュリティガイド

オンデマンドチュートリアル
MLUリダクションコース

チュートリアルを見る

セキュリティガイド
コンパートメントセキュリティ

リソースを表示する

エンタープライズ向けに、豊富な機能と開発を支援

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。