Technical Blog テクニカルブログ
  1. HOME
  2. テクニカルブログ
  3. Treasure Data CDP<第18弾>セキュリティ強化機能~カラムレベルでデータを管理してみた!~

Treasure Data CDP<第18弾>セキュリティ強化機能~カラムレベルでデータを管理してみた!~

投稿者:朝井

NI+C マーケソリューションチームです:)

本Tech Blogでは、NI+Cで取り扱っているTreasure Data CDPを紹介していきます。

本日はセキュリティオプション機能の一つである“Policy based Column-level Access Control”について紹介します!

英名だと機能をパッと想像するのが難しいですが、

こちらは”Policy-Based Permission”(Policyという権限設定をベースにしたアクセス権限管理機能)の応用編です。

「そっちを先に知りたい!」という方はバックナンバーの

Treasure Data CDP<第12弾>Policy Based Permissionとは?を読んでいただければと思います!

1.”Policy based Column-level Access Control”とは

テーブルに対して指定したカラムにアクセス制御をかけられる、つまり「テーブル内のこの列だけ、A部門には見れて、B部門には見れないようにしたい!」を実現する機能です。

2.”Policy based Column-level Access Control”できめ細やかなセキュリティ管理を実現

企業様が蓄積、管理されている顧客データの中には、当然個人を特定できる情報あるいは機密性の高い情報が含まれているかと思います。加えて、そのデータを日々扱う部門も組織内で多岐にわたります。

そのような場合、本機能を使うことにより

「顧客データのうち、例えば支払カード情報などの機密データは財務部門しかアクセスできないようにしたい」

「セキュリティレベルの高い情報(年収情報など)を施策で使いたいが、情報を見ることのできるメンバーは制限したい」
(自社の顧客データ内で年収に関するデータが有る。年収600万以上の顧客をピックアップして、CRM施策に利用したいが、作業担当者には顧客の年収情報を見せたくない。
(Aさんは640万、Bさんは450万などのように実際の数字は見えないようにしたい。)

などのニーズに応えることが可能です!

標準機能での対処法として、該当テーブルから、アクセスできないようにしたいカラムを抜いた状態で新テーブルを作成する

と言った方法も考えられますが、テーブルが増えることによる冗長化やセキュリティ管理がより手薄になる可能性があります。

3.設定方法を見ていきましょう!

Treasure Dataでは本機能を、SQLの”GRANT”や”REVOKE”を使用しなくても、GUI上で設定することができます!

〈手順〉

[1]データテーブル(Master Table)内で閲覧制限をかけたいColumn(列)にタグ※を設定する。

 ※データにタグを付与し、検索や権限設定ができる機能です。

 ・データベースやテーブルでの検索の許可、拒否を分けるためのタグ(=リソースタグ)

 ・カラムのアクセス制御を行なう際に利用するタグ(=ポリシータグ)

 の2種類あります。

それでは最初にタグを作成してみましょう。(TDにはあらかじめデフォルトのポリシータグが用意されていますので、ここではリソースタグを作成して検索可否もついでに見てみましょう)

↓”Control Panel”から”Tags”を選択、

↓”Tags”画面の右上、”Create Tag”を押下します。

↓作成画面が表示されました。”Type”でリソースタグかポリシータグかを選ぶことができます。

名前やTypeを設定し、右下の”Create”を押下して、作成完了です!

[2][1]の上で「Policy Based Permissions」機能を利用し条件設定することで、対象のColumnへの閲覧・利用の権限を付与する。

さて、作成したタグをカラムに付与してみましょう!

今回使用するテーブルは以下のテストテーブルです(Chat-GPTにササっと作ってもらった架空データです。便利ですね。)

↓アクセス制御を設定したいテーブル画面の”Schema”タブから”Edit Schema&Accessibility”を押下します。

↓”POLICY TAGS”と”RESOURCE TAGS”に、それぞれのカラムに設定したいタグを付与します。

「td_client_id」カラムには「1st Party Cookie(Client Server)」タグを、

「td_global_id」カラムには「3rd Party Cookie(TD)」タグを付与してみます

(↓ちなみに、リソースタグを付けたカラムは、DB内の検索で以下のように使うことができます!ポリシータグでの検索も可能ですが、リソースタグは管理者権限が無い方でも作成可能なので、使いやすいです)

↓タグの付与が完了したら、”Control Panel”→”Policies”に移動し、設定したいPolicyを選択しましょう。

Policyの編集画面が表示されたら”PERMISSIONS”タブの一番下にある”COLUMUN LEVEL ACCESS CONTROL”の鉛筆マークを押下します。

どのタグをつけたカラムを、どのアクセス権限にするか選択します。

これで、アクセスできるカラムを適切に設定したPolicyができあがりました!

あとはPolicy Based Permissionを通常使用するときと同様に、作成したPolicyをユーザーに紐づけます。

ユーザーへの紐づけ方法は→Treasure Data CDP<第12弾>Policy Based Permissionとは?をご覧ください!

無事紐づけが完了したら、”Show All Permissions”をクリックして確認してみてくださいね(^^)

さて、セキュリティ機能の応用編になるので少し長くなってしまいましたが…

“Policy based Column-level Access Control”いかがでしたでしょうか?セキュリティ管理にお悩みの際、ぜひ参考にしていただけますと幸いです!

Treasure Dataにご興味を持たれた方はぜひ「こちら」からお問い合わせください。


その他、Treasure Data CDP についての記事はこちら↓

セグメント作成について↓↓
Treasure Data CDP <第1弾>Audience Studio の機能でセグメント作成してみた!!

Activationについて↓↓
Treasure Data CDP <第2弾>Audience Studio の機能 Activation を使ってみた!

Predictive Scoring について↓↓
Treasure Data CDP <第3弾>Predictive Scoring のご紹介

データのインポートについて↓↓
Treasure Data CDP <第4弾>Treasure Data にデータをインポートしてみた

SQLを使ったデータの抽出方法について↓↓
Treasure Data CDP<第5弾>SQL を使ってデータ抽出してみた!

Treasure Workflowについて(前編)↓↓
Treasure Data CDP<第6弾>Treasure Workflow とは(前編)

Treasure Workflowについて(後編)↓↓
Treasure Data CDP<第7弾>Treasure Workflow とは(後編)

オーディエンススタジオ ジャーニーオーケストレーションについて↓↓
Treasure Data CDP<第8弾>新機能 ジャーニーオーケストレーション ご紹介

Server Side 1st Party Cookieについて↓↓
Treasure Data CDP<第9弾>Server Side 1st Party Cookieのご紹介

ジャーニーオーケストレーションの機能を使ったジャーニーの作成方法について↓↓
Treasure Data CDP<第10弾>【Journey Ohchestration】ジャーニーを作成してみよう!

Predictive Scoring 予測モデルの作成から実行について↓↓
Treasure Data CDP<第11弾>Predictive Scoringを使ってみた!

Policy Based Permissionについて↓↓
Treasure Data CDP<第12弾>Policy Based Permissionとは?

Treasure Insights について↓↓
Treasure Data CDP<第13弾>Treasure Insights について ご紹介

ID Unificationについて↓↓
Treasure Data CDP<第14弾>ID Unification 機能 ご紹介

アップデートされたAudience Studioについて↓↓
Treasure Data CDP<第15弾>アップデートされたAudience Studioのご紹介!

Utilizationについて↓↓
Treasure Data CDP<第16弾>Utilizationについてご紹介

TD AutoMLについて↓↓
Treasure Data CDP<第17弾>TD AutoMLを動かしてみた!

ページのトップへ