イチから始めるデータ活用！8週連続ウェビナー イチから学ぶ Immuta 2024/3/13
 クラスメソッド株式会社 アライアンス事業部
 安原朋紀
 1

2 自己紹介 氏名：安原朋紀（Yasuhara Tomoki） 所属：クラスメソッド株式会社　アライアンス事業部 担当：Alteryx や Tableau に関する技術支援 DevelopersIO：https://dev.classmethod.jp/author/yasuhara-tomoki/

3 会社紹介 オープンな発想と高い技術力によりすべての人々の創造活動に貢献し続ける 名称
 
 代表者
 
 設　立
 
 本　社
 
 
 拠　点
 
 
 
 資本金
 
 従業員
 クラスメソッド株式会社
 
 横田　聡
 
 2004年7月7日
 
 東京都港区西新橋1－1－1
 日比谷フォートタワー26階
 
 東京、札幌、仙台、上越、名古屋、大阪、福岡、 沖縄、ベルリン、バンクーバー、ホーチミン、バン コク、ソウル
 
 1億円
 
 700名（2023年9月現在/グループ全体） 
 2024年7月開催！20周年イベントClassmethod ODYSSEY お申し込みはこちら

4 データ活用を支えるサービス クラスメソッドではこれらサービス製品の導入・運用をサポートしています。
 各サービスを組み合わせて使うことで、より簡単にデータ分析を行う環境づくりをお手伝いします。


5 コンテンツ 1. データ セキュリティ プラットフォーム 2. Immuta の概要 3. Immuta の特徴的な機能 ○ Data Access Control ○ Integration ○ Data Discovery ○ Detect 4. まとめ

6 データ セキュリティ プラットフォーム

7 データ セキュリティ ● データセキュリティの背景 ○ クラウド化と AI/ML の進化 ○ 組織の競争力強化には、データの有効活用が不可欠 ● データ管理の課題 ○ アクセス制御：データソース・ユーザー・ポリシーの急増 ○ プライバシーおよびコンプライアンス：厳格な規制要求への対応 ○ 人材：データ管理に関する専門知識が必要 ● Data Engineering Survey（2023） ○ 97% がデータアクセス制御を大きな課題と認識 ○ 89% がデータアクセスの課題によりビジネスチャンスを逃していると回答

8 データ セキュリティ プラットフォーム ● データ セキュリティ ○ ビジネス成果を高めるために必要な手段 ● セキュリティ プラットフォームに求められる機能 ○ リスクの削減 ■ 効果的なデータ管理とセキュリティ対策の実現による 安全なデータアクセスの提供 ■ 企業のセキュリティ要件を満たしつつ、セキュリティ侵害のリスクを軽減 ○ 運用コストの削減 ■ データ保護とガバナンスの簡素化 ■ 自動化と集中化によるセキュリティ管理 ■ ポリシーの一元管理により、複雑な環境でも一貫した セキュリティポリシーを維持

9 Immuta の概要

10 Immuta について ● データセキュリティプラットフォーム ○ SaaS として提供 ○ 主要なクラウド データプラットフォーム（DWH）に対する 属性ベースのポリシーによるデータの保護、機密データの検出、データ ア クティビティの監視機能を提供 ● Immuta 社 ○ 本社：マサチューセッツ州ボストン ○ 従業員：250名以上 ■ 2015年設立 ■ 2022年：Snowflake の Data Security Partner に選出 ■ 2023年：Snowflake の Data Security Partner of the Year に選出

11 Immuta の特徴的な機能 ● Data Access Control ○ 属性ベースのアクセス制御（Attribute-based access control：ABAC） ● Integration ○ 主要なクラウドデータプラットフォーム との統合 ● Data Discovery ○ 機密データの自動的な検出と分類機能を提供 ● Detect ○ テーブル・カラムレベルでアクセス状況を監視可能

12 Data Access Control

13 Immuta におけるアクセス制御 ● Immuta では権限制御・認可モデルとして ABAC を使用 ● Attribute-based access control（ABAC） ○ 認可決定のために、ポリシーを通じて複数の属性を評価する ○ 複数の属性を評価するため、高い柔軟性を提供 ● Immuta では、GUI ベースで ABAC によるポリシーの設定が可能 ○ 設定したポリシーは即座に自動的に適用される

14 Role-based access control ● Role-based access control（RBAC） ○ ロール（役割）に基づいてポリシーを定義し、アクセスを許可する方式 ○ Subject とポリシーを「ロール」で紐づけ 【RBAC のイメージ】 ✓ 「人事部門」ロールを割り当てられたユーザーは、「 人事部門ポリシー」に紐づく操作が可能 ✓ 「営業部門」ロールを割り当てられたユーザーは、「 営業部門ポリシー」に紐づく操作が可能

15 Attribute-based access control ● Attribute-based access control（ABAC） ○ ポリシーを通じて複数の属性を評価し認可される ○ 属性：ユーザー属性、リソース属性、環境属性 ポリシー定義の例 ✓ 部門が「人事部」のユーザーは、所有者が「 人事部」のリソースへのアクセスを許可 ✓ 部門が「営業部」のユーザーは、所有者が「 営業部」のリソースへのアクセスを許可 【ABAC のイメージ】

16 Immuta におけるポリシー ● Subscription Policy ○ データへのアクセス権を与える条件を定義 ○ 条件に該当するユーザーにデータソースを表示 ● Data Policy ○ 「データをどう見せるか」を定義 ○ ABAC による行・列レベルのセキュリティ機能

17 Data Policy のイメージ ● 行レベルのセキュリティ [地域] 属性が対応する レコードのみ表示される 【ポリシーの設定】 　[RegionalAccessTag] が付与されたカラムの値と、ユーザーの [Region] 属性の値が一致するカラムのみ表示 【ユーザーからのクエリ】

18 Immuta での設定例：行レベルのセキュリティ ポリシー名 「データをどう見せるか」を定義 行レベルのセキュリティ [RegionalAccessTag]が付与されたカラムの値と ユーザーの[Region]属性の値が一致するカラムのみ表示 ポリシーを適用するデータソースを指定

19 RBAC と ABAC 【RBAC】 アクセス要件ごとにロールと ロールに対するポリシーを作成 【ABAC】 ユーザーへの属性情報の付与と ポリシーの更新で対応 ● 行レベルのセキュリティ ・ ・ ・

20 RBAC と ABAC RBAC ABAC 特徴 ・実装コストは低い ・組織内の既存の役割に基づいて作成できる （組織階層を組み込みやすい） ・中小規模の組織で適している ・単一のポリシーで RBAC の場合、同じ結果を 　達成するために必要だったロールを置き換え可能 ・大規模な組織で効果的 課題 ・組織が大規模になると管理が困難になる傾向 　→「ロール爆発」が発生する可能性が高くなる ・どのロールがどのアクセス許可に属しているかを 　簡単に判断できない ・拡張は容易だが、確立には手間がかかる ・属性が多様かつ組み合わせが複雑になる傾向

21 Integration

22 Integration の概要 ● Immuta に データソースのポリシー管理を任せることができるような機能 ○ Immuta 側でポリシーを定義すると自動的に DWH 側にその変更が 適用がされる ■ ユーザーのテーブルへのアクセス権 ■ マスキング処理などのポリシー ● データを参照するユーザーは Immuta によるポリシーの適用を 意識する必要がなくなる ● 以下の DWH と統合可能 ○ Snowflake, Databricks, Redshift, Starburst, Azure Synapse Analytics, BigQuery 参考：https://documentation.immuta.com/SaaS/configure-integration/access-pattern-installation/integrations-overview/

23 Snowflake との統合 参考：ImmutaのABACとGlobal Subscription Policyを用いて特定のグループのユーザーだけ にデータのアクセス権を付与してみた | DevelopersIO 【Immuta：Subscription Policy の設定】 データへのアクセス権を与える条件を定義 Immuta によりロールが作成される

24 Data Discovery

25 Data Discovery ● Sensitive Data Discovery（SDD） ○ Immuta にデータソースを追加した際に、機密データを検知し 自動でタグ付けを行う機能 ○ データのパターンから各カラムが表すデータの種類を判断 ● 機密データ保護の自動化が可能 ○ 機密データへのタグ付から Data Policy によるマスキングが 自動的に反映される ● 正規表現を用いた独自の検知ルールを定義することも可能 公式DoC：https://documentation.immuta.com/SaaS/discover/ DevelopersIO：ImmutaデフォルトのSensitive Data Discoveryでどのようなデータが自動タグ付けされるか確かめてみた

26 Sensitive Data Discovery のイメージ 【Immuta：データソースメニュー】 参考：https://documentation.immuta.com/2024.1/configure-integration/tags/sdd/discovered-tags/ Discovered：Immuta の SDD により検出されたタグ 自動検出されるタグの例 タグ名 タグが付与されるデータの内容 PII 個人を特定できる情報として認識されたデータ PHI 個人の健康情報として認識されたデータ PCI 支払いカード情報として認識されたデータ PERSON_NAME 人の名前として認識されたデータ Electronic Mail Address 電子メールアドレスとして認識されたデータ

27 Detect

28 Detect ● 監査機能 ○ Immuta 上で行われた各処理のログを確認できる機能 ● データソースやユーザー、アクションタイプなどによる絞り込みや 実際にユーザーが発行した SQL の確認も可能 ○ 「どのユーザーがどのデータのどのカラムにアクセスしたか」というレベルでログが 記録されるため、機密性の高いデータへのアクセスの監査対応にも使用可能

29 まとめ

30 Immuta の特徴的な機能まとめ ● Data Access Control ○ 属性ベースのアクセス制御（Attribute-based access control：ABAC）による 動的かつきめ細やかなデータアクセス制御とデータ保護が可能 ● Integration ○ 主要なクラウドデータプラットフォーム と統合可能 ○ Immuta 側でポリシーを定義すると自動的に DWH 側にその変更が適用される ● Data Discovery ○ 機密データの自動的な検出と分類機能を提供 ○ Policy と組み合わせることでデータ保護の自動化が可能 ● Detect ○ テーブル・カラムレベルでアクセス状況を監視可能

31