プログレスがMarkLogicを買収 - 詳細はこちら
共有およびセキュリティの両方でベスト

アドバンスセキュリティ

現在のサイバー脅威からデータを保護し、セキュリティを守らなければならないからといって、アクセス制限が必要だということにはなりません。MarkLogicでは、きめ細かなアクセス制御、権限の適切な分離、データの匿名化により、データを安全に共有できるようにします。

アドバンスセキュリティの機能

MarkLogicでは、必要とされる業界標準のセキュリティを標準機能として提供しますが、次の3つの追加機能を備えたアドバンスセキュリティのオプションが必要になる場合もあります。

  • 外部鍵管理:暗号鍵の格納・管理を容易にし、暗号鍵に対する懸念を払拭します。このオプションは、すでに使用中の外部鍵管理システム(KMS)を活用したい場合に便利です。
  • リダクション:データを共有するためにエクスポートする際、特定のデータを削除や匿名化を行います。この機能は、コンプライアンスガイドライン(HIPAA、SEC17a-4、FSEC17a-4、FINRA、GDPRなど)の順守においても役立ちます。
  • コンパートメントセキュリティ:データ閲覧用の権限について、複数のロールを持つことをユーザーに義務付け、データアクセスをさらに制限します。多くの政府機関システムで機密情報を保護するために採用されています。
お客様の声

お客様からの最高の評価

これにより、セキュリティの定義とデータのオーナーシップの意味が完全に変わります。共有インフラを実現したうえで、社内の各部門がデータの複数のコピーを作成することなく自分たちのデータにアクセスできるよう、セキュリティモデルを定義できます」

プラナヴ・ラオ氏、クレディ・スイス、アセットマネジメント担当技術責任者

外部鍵管理

MarkLogicは、サードパーティのKMSシステム、たとえば、AWS Key Management ServiceGemalto SafeNetなどと連携可能。

このような外部KMSシステムにより、自社ストレージシステム内の自己暗号化ディスクに使用される認証キーが安全に管理されます。ここで追加されるセキュリティレイヤーは以下のとおりです。

鍵管理:鍵の交換、無効化、削除を行います。

アクセス制御:未承認のデータベース管理者、システム管理者、ストレージ管理者は、データベースファイルにアクセスできません。暗号鍵のアクセスを制御できるのは外部KMS管理者のみです。

リダクション

ルールとポリシーに基づいている

実装に際しては、MarkLogicセキュリティ管理者がデータのリダクション(削除ポリシー)を策定し、削除しなくてはならない機密データの定義ルールなどを決め、データエクスポート時にはどのポリシーを選択するかを決定します。セキュリティ管理者は、ビルトインのルールやカスタムのルールを組み合わせ、さまざまなターゲットのニーズに応じたポリシーを作成できます。

さまざまなタイプのリダクションに対応したビルトイン機能:

  • Concealing:要素や値(JSONの場合はプロパティや値)を隠します。
  • Masking:ランダムマスキング(インスタンスごとに値が変わる)、決定論的マスキング(毎回同じ値を適用)、または辞書マスキング(指定した辞書の値を適用)を使用してデータを変更します。
  • Patterns:社会保障番号、米国の電話番号、メールアドレス、IPv4、正規表現などのパターンを使用してデータを変更します。
  • Custom:サーバーサイドJavaScriptまたはXQueryの関数を使用して、独自のルール(18歳未満の場合は名前を削除するなど)を適用します。

ユーザーが実行するルールとアクションはすべて記録されるため、すべてのエクスポートアクティビティを後日監査できます。

データ削除(リダクション)は、大規模な一括エクスポートを実行する際に使用できるよう設計されています。また、mlcp(MarkLogic Content Pump)を使用すると、アプリケーションレイヤーで実装したソリューションよりも処理速度と安全性が向上します。

お客様事例

お客様からの最高の評価

私たちには、統合されたデータの提供、適切なガバナンス、組織全体で知識を共有するためのセキュリティが必要でした。これを実現するためにサイロ的なアプローチをやめ、MarkLogicを使用しています。統合されたデータの提供を実現するとともに、適切に統制を行いながら、社員がデータにアクセスできるようにしています」

セマ・ウストゥンタス氏、ボーイング、シニアエンタープライズアーキテクト

コンパートメントセキュリティ

コンパートメントセキュリティは、ANDセマンティックまたはORセマンティックを使用して、ドキュメントを操作するために必要なロールを、1つだけではなくすべて持つことをユーザーに義務付け、セキュリティ制御を強化します。

MarkLogicでは、コンパートメントはロールに関連付けられている名前です。ロールがコンパートメント化されると、データベースのドキュメントのアクセスまたは作成のユーザー権限を判断する場合に、コンパートメント名が追加のチェックとして使用されます。コンパートメントセキュリティがないと、ORセマンティックを使用してパーミッションがチェックされます。

一例として、ドキュメントにrole1とroke2の読み取りパーミッションがある場合、role1またはrole2のいずれかを所有するユーザーがそのドキュメントを読み取ることができます。これらのロールに異なるコンパートメントが関連付けられている場合(例えばcompartment1とcompartment2がそれぞれ関連付けられているなど)、パーミッションは、コンパートメントごとにANDセマンティックを使用してチェックされ、コンパートメント化されていないロールごとに、ORセマンティックを使用してチェックされます。role1とrole2が異なるコンパートメントにある場合に、ドキュメントにアクセスするには、ユーザーがrole1とrole2の両方を所有し、コンパートメント化されていないロール(そのドキュメントの対応するパーミッションを持つロール)を所有している必要があります。

関連リソース

アドバンスセキュリティ

詳細はこちら

セキュリティの概要

セキュリティガイド

ドキュメントコンテンツのリダクション

Application Developer's Guide

MLUリダクションコース

チュートリアルを見る

コンパートメントセキュリティ

リソースを表示する
エンタープライズ向けの豊富な機能

まずは始めてみましょう

専門家に問い合わせる すべての機能を確認する