データセキュリティとコンプライアンス: 5つの重要な考慮事項

データが複雑化し、その量が増加し続ける中、ビジネスインテリジェンス (BI) ソリューションの購入を選択する際には、データセキュリティの確保がこれまで以上に重要になります。

データ保護からデータガバナンスに至るまで、機密データの制御、監査、暗号化、ユーザーアクセスや使用状況の管理を可能にするBIプラットフォームの導入は不可欠です。

同様に重要なのが、BIベンダーが、国際的な規制基準に準拠したプラットフォームにおいて、期待されるレベルのデータセキュリティとコンプライアンスを提供しているかどうかという点です。今回は、データセキュリティとコンプライアンスに関する5つの重要な考慮事項を紹介します。

 

#1 – セキュアなメタデータレイヤー

メタデータは、データベース内のすべてのデータオブジェクトに関する情報を記述し、提供するものです。これは、データに関する必要なコンテキストを提供し、カラム (列) やロウ (行) に表示されるデータの基礎になります。また、データがいつアップロードされたか、誰がアップロードしたか、データのタイプや、書式設定、計算フィールド、テーブル構造などの構成要素を考えます。 

メタデータレイヤーは、ユーザーがレポートを作成するために使用するユーザーインターフェース (UI) と、ユーザーがデータベースに送信するクエリーの間に位置します。メタデータレイヤーが適切に設計されていれば、セルフサービスアナリティクスダッシュボードやクエリーの照会を高いパフォーマンスとセキュリティでサポートすることができます。

最も安全なBIベンダーは、メタデータレイヤーをデータセキュリティの中核に位置付けています。例えば、Yellowfinは、いくつかの異なるコンポーネントを介して、主にメタデータレイヤーにデータセキュリティ機能を実装しています。

• アクセスフィルター: アクセスフィルターは、レポートを実行するユーザーに基づき、利用できるデータを制限するために設計されています。これは、ロウレベルでデータセットを制限し、必須フィルターを追加して、適切なセキュリティアクセスレベルを持つユーザーのみが変更できるようにします。アクセスフィルターは、ユーザーとロウレベルの値のマッピングを定義し、そのマッピングをメタデータレイヤーの適切なカラム (列) に関連付けます。例えば、マネージャーは、レポートから自部署内の従業員の詳細情報のみ閲覧することができます。

 

• カラムレベルセキュリティ: 多くの場合、レポートやダッシュボードは一般的な使用を目的としてデザインされていますが、いくつかのカラム (列) 内の情報は非常に機密性が高く、一般的な使用を目的としていない場合があります。Yellowfinは、アドホックなレポート作成 (例: セルフサービス) において、機密情報が照会されないよう個別のカラム (列) を保護する機能を提供します。これは、レポートを作成または閲覧する際に、適切なアクセス権を付与されたユーザーのみが、その項目や制限されたカラム (列) を見ることができることを意味します。

 

• データソース置換: これは、クライアント組織と組み合わせたマルチテナント機能で、レポート実行時にユーザーがどの組織に属しているかにより、レポートが実行されるデータソースを切り替えることができる機能です。これは、組織が顧客データを共有スキーマを持つデータベースで分離しているが、単一のレポートのみを作成したい場合に役立つ保護的なデータセキュリティ機能です。

 

メタデータは通常、データ要素の管理や記述、構造に関する情報を提供し、大量のデータの照会や探索をより迅速に行うのに役立つため、これらの記述要素が各オブジェクト内に格納されているものと同等に安全であることを保証することが課題です。これにより、安全なメタデータレイヤーは、最も重要なデータセキュリティの考慮事項のひとつになっています。

より詳細な情報はこちら: Yellowfin テクニカルアーキテクチャー – メタデータレイヤー

#2 – ロールベースのアクセス制御

ロールベースのアクセス制御と認証は、すべてのアナリティクスソリューションが提供すべき重要な最新機能です。ロールとは基本的に利用可能なセキュリティ機能の集合体であり、目的のアナリティクスユーザーはそれぞれ、アプリケーション内で使用可能なシステム機能 (レポート作成、データストーリー作成など) を管理するために関連付けられます。また、レポート作成に使用可能なデータに関するリンクと権限も管理されます。

アナリティクスソリューションにロールベースのアクセス権を設けると、ユーザーのニーズや所属部署などに応じて、どのデータにアクセスし共有できるかを明確に定義して管理することができます。

例えば、チームが作成したレポートの閲覧だけが必要なBIユーザーのグループがあるとします。この場合、彼らのロールは読み取り専用の権限に制限されるかもしれません。

もう1つの例は、BIユーザーの特定のグループに、Yellowfin ガイド付きNLQなど、アナリティクスプラットフォームの特定のAI機能 (ChatGPTなどの非アナリティクスツールのAI機能と混同しないように) へのアクセスを割り当てることです。

Yellowfinは、あらかじめ組み込まれたロールと独自のロールを作成し、その特定のロールに必要なシステムを割り当てる機能の両方を提供することで、大企業から小規模な組織までが最も重要で機密性の高いコンテンツに対してきめ細かいアクセス制御を実施できるように支援します。ロールやその他のユーザー属性は、Yellowfinの広範な管理制御を使用してプログラム的に変更することができます。

一方、各ユーザーの属性とセキュリティアクセスを同期させる機能を持つことは、標準的なSSO実装に不可欠なステップであり、次の重要な考慮事項になります。

より詳細な情報はこちら: Yellowfin セキュリティモデル – 機能的、コンテンツ、データセキュリティ

 

#3 – シングルサインオン (SSO)

シングルサインオン (SSO) は、ユーザーが共通のIDを使用して異なるアプリケーションやウェブサイトにログインすることを可能にする認証機能です。これはますます重要なセキュリティ対策であり、選択したBIベンダーがこの認証方法をサポートし、アナリティクスユーザーが安全かつシームレスにBIツールにアクセスできるようにすることも同様に重要です。

最新のSSOは一般に、ユーザーのアナリティクススイートとのインタラクションのためのセッション状態を制御する機能と粒度、およびセッション時間の管理および/またはセッションの終了を行う機能を提供し、最低でも単一のロックアウトとセッション管理のためのグローバル設定を行うことが期待されます。これに加えて、SAML (セキュリティ・アサーション・マークアップ言語: Security Assertion Markup Language) やMFA (多要素認証: Multi-Factor Authentication) など、他のユーザー認証方法もサポートします。これらはいずれも2つのエンティティ (使用する識別プロバイダー (Oktaなど) とサービスプロバイダー (使用するアナリティクススイート) ) の間で安全な接続とIDデータの安全な転送を行うためのものです。

Yellowfinは、上記のすべてのサードパーティ製認証プロセスとの統合を可能にします。そのSSOの実装はユーザーレプリケーションのモデルに基づいており、(コンテンツアクセスや利用可能なシステム機能を管理する) ユーザーのロールとその認証サービスの同期を通して、すべてのYellowfin ユーザーが管理者が望むものにのみアクセスできることを保証します。カスタム認証ブリッジは、Yellowfinとサードパーティ製認証プロセスを接続する際に使用され、Yellowfin システム内のユーザーの詳細情報/属性とマッチングし、厳重なセキュリティを確保します。マッチングが行われると、ブリッジはそのユーザーのYellowfinへのSSOを実行します。

また、YellowfinはSSOのためのSAMLブリッジを事前に構築することができ (ADFSやOktaなどのアイデンティティアクセスプロバイダーを使用する組織向け)、これによりユーザー認証のための設定をさらにシームレスにすることが可能です。これらは利用可能なオプションの一部です。

より詳細な情報はこちら: Yellowfinでのシングルサインオン – どのように機能するか？

#4 – コンテンツセキュリティ

アナリティクススイート内のコンテンツ管理は、組織がアナリティクスソリューションに求めるべき最も重要な機能のひとつです。コンテンツにアクセスできるユーザーを部門やプロジェクトなどの区分や、一般的なレポートや日々のまとめ、管理レポートなどのエクスペリエンスによってカスタマイズ、制限、制御する機能は、適切なアクセス権限が施行され、複雑で粒度の細かいユーザーエクスペリエンスを調整し、機密データを安全かつセキュアに保つことができるようにするための鍵になります。

Yellowfinでは、コンテンツのセキュリティと管理は、データガバナンスとデータセキュリティ機能の大きな部分を占めています。Yellowfinでは、データをコンテンツフォルダーと呼ばれる構造に格納することで整理・保護し、ビジネス部門ごとにコンテンツを区分けし、ニーズごとにモジュール化します。個々のコンテンツやそのフォルダーは、独自のユーザー権限で階層化することができます。コンテンツセキュリティは、Yellowfinのロールベースのアクセス制御と連携しており、ユーザーは現在のロール権限、グループメンバー、または個人単位でコンテンツフォルダーやアイテムへのアクセスを割り当てられます。

より詳細な情報はこちら: Yellowfin コンテンツセキュリティ

 

#5 – SOCアセスメントとGDPR認証の取得

データコンプライアンスは、データセキュリティやデータガバナンスと密接に関係しています。BIベンダーが必要な外部認定を受けていなかったり、機密性の高い顧客データの暗号化、保管、アクセス、保護をめぐる重要な基準に従っていなかったりすると、意図しない、あるいは悪意のあるデータ侵害、そして罰金に直面するのは時間の問題でしょう。

Yellowfinはデータセキュリティとコンプライアンスに非常に真剣に取り組んでおり、2021年にSOC 2（Service Organization Control for Service Organizations）タイプII認証を取得し、すべての顧客とそのデータに対して国際コンプライアンス、規制、セキュリティにわたる最高水準の品質の提供を達成しています。SOCレポートは、データの検索、保存、処理、転送に関連する制御環境に対する保証を提供し、すべてのレベルで安全でコンプライアンスに準拠した企業の運営をめぐる業界の期待や規制を遵守します。

さらに、Yellowfinは一般データ保護規則（GDPR: General Data Protection Regulation）、HiPPA、PCI、イギリスのサイバーエッセンシャル規制基準に準拠しています。

より詳細な情報はこちら: Yellowfinのセキュリティ＆コンプライアンス – すべての認定

 

Yellowfin BI: エンドツーエンドのデータセキュリティ

Yellowfinの包括的なデータセキュリティやデータガバナンス機能、および組み込みアナリティクススイートの詳細については、無料のデモでご確認ください。

「無料評価版」

製品紹介資料はこちら↓