機密データの分類結果の操作

このトピックでは、機密データの分類結果を表示する方法と、分類タグを追跡して機密データを監視する方法について説明します。

結果を表示するには、トラストセンターを使用します。

トラストセンターで機密データの分類結果を表示するには、以下の手順を実行します。

  1. |sf-web-interface-link|必要な権限を持つユーザーとして :ref:` にサインイン <label-classify_trust_center_access_control>` します。

  2. ナビゲーションメニューで Governance & security » Trust Center を選択します。

  3. Data Security タブを選択します。

  4. 次のいずれかを実行します。

    • 機密データのセキュリティに関する高いレベルの洞察を取得したい場合は、 Dashboard タブを選択します。詳細については、 ダッシュボードページ をご参照ください。

    • 機密データを含むと分類されたすべてのテーブルとビューをリストしたい場合は、 Sensitive objects タブを選択します。

      ページが開いたら、テーブルを選択して、機密データがある列、それらの列の :ref:` セマンティックカテゴリ <label-classify_categories>` 、およびタグが列に適用されたかどうかを確認します。

ダッシュボードページ

Dashboard ページは、分類されているデータベースやテーブルの数などの情報を提供することで、機密データのセキュリティに関する高いレベルの洞察を提供します。このページには、次のタイルが含まれています。

タイル

説明

Objects by compliance category

オブジェクト内の情報の型に基づいて、規制やその他のコンプライアンス基準の対象となる可能性のあるデータを含むオブジェクトの数を識別します。

注釈

コンプライアンスカテゴリとセマンティックカテゴリ間のマッピングはすべてを網羅しているわけではありません。Snowflakeがサポートするネイティブセマンティックカテゴリのみがコンプライアンスカテゴリにマッピングされます。完全なマッピングについては、 コンプライアンスカテゴリマッピング をご参照ください。

データにどの規制や法律が適用されるかを判断し、適用される規制や法律に準拠していることを確認する責任はあなただけにあります。

Objects by semantic category

最も一般的なセマンティックカテゴリと、それらのカテゴリに属するデータを含むオブジェクトの数を識別します。

Databases monitored by auto-classification

機密データ分類によって現在監視されているデータベースを識別します。誰かがデータベースレベルでプロファイルを設定するのではなく、 SQL を使用してデータベース内のスキーマに分類プロファイルを直接設定した場合、データベースは部分的に監視されます。

Classification status

機密データについて現在モニターされているすべてのデータベースが分類されているかどうかを識別します。

Sensitive data masking status

機密データが :doc:` マスキングポリシー </user-guide/security-column-ddm-intro>` によって保護されているかどうかを識別します。マスキングポリシーは、タグベースのポリシーでも、手動で列に適用されたものでもかまいません。

機密データを含むすべての列にマスキングポリシーが関連付けられている場合、テーブルは 完全にマスクされます。機密データを含む一部の列のみがマスキングポリシーに関連付けられている場合、テーブルは 部分的にマスクされます

コンプライアンスカテゴリマッピング

注釈

データにどの規制や法律が適用されるかを判断し、適用される規制や法律に準拠していることを確認する責任はあなただけにあります。機密データ分類内のコンプライアンスカテゴリは、取り組みを支援するためのすぐに使えるツールキットを提供するように設計されていますが、すべてを網羅するものではありません。 Snowflakeがサポートする :doc:` ネイティブセマンティックカテゴリ </user-guide/classify-native>` のみがコンプライアンスカテゴリにマッピングされます。

次のテーブルを使用して :ref:` ダッシュボードページ <label-classify_trust_center_review_dashboard>` 上の Objects by compliance category タイルを理解します。

コンプライアンスカテゴリ

ネイティブセマンティックカテゴリ

ロケール

デジタル個人データ保護法( DPDPA )

DATE_OF_BIRTH

なし

DRIVERS_LICENSE

インド( IN )

EMAIL

なし

NAME

なし

NATIONAL_IDENTIFIER

インド( IN )

PHONE_NUMBER

なし

STREET_ADDRESS

なし

TAX_IDENTIFIER

インド( IN )

一般データ保護規則( GDPR )

AGE

なし

DRIVERS_LICENSE

オーストリア( AT )、ベルギー( BE )、ブルガリア( BG )、クロアチア( HR )、キプロス( CY )、チェコ共和国( CZ )、デンマーク( DK )、エストニア( EE )、フィンランド( FI )、フランス( FR )、ドイツ( DE )、ギリシャ( GR )、ハンガリー( HU )、アイルランド( IE )、イタリア( IT )、ラトビア( LV )、リトアニア( LT )、ルクセンブルク( LU )、マルタ( MT )、オランダ( NL )、ポーランド( PL )、ポルトガル( PT )、ルーマニア( RO )、スロバキア( SK )、スロベニア( SI )、スペイン( ES )、スウェーデン( SE )

EMAIL

なし

ETHNICITY

なし

GENDER

なし

IBAN

なし

IMEI

なし

IP_ADDRESS

なし

NAME

なし

NATIONAL_IDENTIFIER

オーストリア( AT )、ベルギー( BE )、ブルガリア( BG )、クロアチア( HR )、キプロス( CY )、チェコ共和国( CZ )、デンマーク( DK )、エストニア( EE )、フィンランド( FI )、フランス( FR )、ドイツ( DE )、ギリシャ( GR )、ハンガリー( HU )、アイルランド( IE )、ラトビア( LV )、リトアニア( LT )、ルクセンブルク( LU )、マルタ( MT )、オランダ( NL )、ポーランド( PL )、ポルトガル( PT )、ルーマニア( RO )、スロバキア( SK )、スロベニア( SI )、スペイン( ES )、スウェーデン( SE )、イギリス( UK )

PASSPORT

オーストリア( AT )、ベルギー( BE )、ブルガリア( BG )、クロアチア( HR )、キプロス( CY )、チェコ共和国( CZ )、デンマーク( DK )、エストニア( EE )、フィンランド( FI )、フランス( FR )、ドイツ( DE )、ギリシャ( GR )、ハンガリー( HU )、アイルランド( IE )、イタリア( IT )、ラトビア( LV )、リトアニア( LT )、ルクセンブルク( LU )、マルタ( MT )、オランダ( NL )、ポーランド( PL )、ポルトガル( PT )、ルーマニア( RO )、スロバキア( SK )、スロベニア( SI )、スペイン( ES )、スウェーデン( SE )

PAYMENT_CARD

なし

PHONE_NUMBER

なし

SALARY

なし

TAX_IDENTIFIER

オーストリア( AT )、キプロス( CY )、フランス( FR )、ドイツ( DE )、ギリシャ( GR )、ハンガリー( HU )、イタリア( IT )、マルタ( MT )、オランダ( NL )、ポーランド( PL )、ポルトガル( PT )、スロベニア( SI )、スペイン( ES )、スウェーデン( SE )

VIN

なし

グラムリーチブライリー法( GLBA )

BANK_ACCOUNT

米国( US )

DRIVERS_LICENSE

米国( US )

NAME

米国( US )

NATIONAL_IDENTIFIER

米国( US )

PASSPORT

米国( US )

PAYMENT_CARD

なし

STREET_ADDRESS

米国( US )

TAX_IDENTIFIER

米国( US )

医療保険の携行性と責任に関する法律( HIPAA )

ADMINISTRATIVE_AREA_1

米国( US )

ADMINISTRATIVE_AREA_2

米国( US )

AGE

なし

CITY

米国( US )

DATE_OF_BIRTH

なし

EMAIL

なし

ETHNICITY

なし

IMEI

なし

IP_ADDRESS

なし

NAME

なし

NATIONAL_IDENTIFIER

米国( US )

PHONE_NUMBER

米国( US )

POSTAL_CODE

米国( US )

STREET_ADDRESS

米国( US )

URL

なし

VIN

なし

ペイメントカード業界( PCI )

PAYMENT_CARD

なし

個人を識別できる情報( PII )

DATE_OF_BIRTH

なし

DRIVERS_LICENSE

なし

EMAIL

なし

NAME

なし

NATIONAL_IDENTIFIER

なし

PHONE_NUMBER

なし

STREET_ADDRESS

なし

TAX_IDENTIFIER

なし

SQL を使用して結果を表示

SQL を使用し、以下の方法で自動分類の結果を表示できます。

  • SYSTEM$GET_CLASSIFICATION_RESULT 関数を呼び出します。例:

    CALL SYSTEM$GET_CLASSIFICATION_RESULT('mydb.sch.t1');
    
    Copy

    分類プロセスが完了するまで結果を返すことはできません。自動分類プロセスは、データベースに分類プロファイルを設定してから1時間後まで開始されません。

  • DATA_CLASSIFICATION_LATEST ビューをクエリするには、 SNOWFLAKE.GOVERNANCE_VIEWER データベースロールが付与されたロールを使用します。例:

    SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_LATEST;
    
    Copy

    結果が表示されるのは、分類が完了してから3時間後になる場合があります。

タグを使用して機密データを追跡する

Snowflakeが機密データを分類すると、機密データを含む列に、システム定義およびユーザー定義のタグを提案または自動的に適用します。機密データを含む列にはこれらのタグが割り当てられているため、クエリを実行し、タグを追跡する関数を呼び出すことで、機密データを監視できます。

たとえば、分類され、セマンティックカテゴリが割り当てられたすべての列をリストアップするには、以下のクエリを実行します。

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.TAG_REFERENCES
  WHERE TAG_NAME = 'SEMANTIC_CATEGORY'
  ORDER BY object_database, object_schema, object_name, column_name;
Copy

どのセマンティックカテゴリが hr_data テーブルの fname 列に割り当てられているかを判断する場合、次のクエリを実行して SEMANTIC_CATEGORY タグの値を取得できます。

SELECT SYSTEM$GET_TAG(
  'SNOWFLAKE.CORE.SEMANTIC_CATEGORY',
  'hr_data.fname',
  'COLUMN');
Copy

タグを追跡するさまざまな方法については、 オブジェクトタグの監視 をご参照ください。