データ分類を調べる
Microsoft SQL Server、Azure SQL Database、または Azure SQL Managed Instance 内に格納されている機密データは、データベース内で分類する必要があります。 この分類は、ユーザーとアプリケーションが格納されているデータの機密性を理解するのに役立ちます。
データ分類は、列ごとに実行されます。 1 つのテーブルに、パブリック、社外秘、または非常に機密性の高い列として分類できます。
最初に、データ分類は SQL Server Management Studio で導入され、オブジェクトの拡張プロパティを使用して分類情報を格納していました。 SQL Server 2019 以降では、このメタデータは sys.sensitivity_classifications というカタログ ビューに格納されます。 この機能は、Azure SQL Database と Azure SQL Managed Instance でもサポートされています。
Azure portal には、Azure SQL Database のデータ分類用の管理ウィンドウが用意されています。 この機能にアクセスするには、Azure SQL Database のメイン ブレードの [セキュリティ] セクションで [データの検出] と [分類] を選択します。
![Azure portal の [データの検出と分類] ページのスクリーンショット。](../../wwl-data-ai/implement-compliance-controls-sensitive-data/media/module-33-security-final-16.png#lightbox)
Azure portal と SQL Server Management Studio の両方で、データ分類を構成できます。 分類エンジンはデータベースをスキャンして、機密情報が含まれている可能性があることを示す名前の列を識別します。 たとえば、 電子メール という名前の列には、機密情報が含まれているというフラグが自動的に設定されます。
この例では、分類に推奨される 5 つの列があります。 情報の種類と秘密度ラベルのプロパティは、列名と全体的な目的と一致しているように見えます。 ただし、推奨事項は列名に基づいているため、電子メール アドレスを含む column1 という名前の列は機密情報として推奨されません。
列は、SQL Server Management Studio の秘密度ウィザードを使用するか、次のように ADD SENSITIVITY CLASSFICATION T-SQL コマンドを使用して分類することもできます。
ADD SENSITIVITY CLASSIFICATION TO
[Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')
GO
データの分類により、データベース内のデータの機密性を簡単に識別できます。 機密データが含まれる列を把握すると、監査が容易になり、データ暗号化に適した列をより簡単に識別できます。 分類により、社内の他の従業員は、データベース内で使用可能なデータの処理方法についてより適切な意思決定を行うことができます。
分類の分類をカスタマイズする
データ検出と分類は、Microsoft Defender for Cloud の一部です。 秘密度ラベルの分類をカスタマイズし、環境専用の分類規則のセットを定義できます。
ポリシー管理の一部として秘密度ラベルを作成および管理するには、Azure SQL Database のメイン ブレードの [データの検出と分類 ] を選択し、[ 構成] を選択します。
[ 情報保護 ] ページでは、ラベルを定義し、それらをランク付けし、一連の情報の種類にリンクできます。
![Azure portal の [Information Protection] ページのスクリーンショット。](../../wwl-data-ai/implement-compliance-controls-sensitive-data/media/module-33-security-final-20.png)
パターンを定義すると、データベース内のこの種類のデータを識別するための検出ロジックに自動的に追加され、すぐに使用できるようになります。
注
秘密度ラベルを作成および管理できるのは、組織のルート管理グループに対する管理者権限を持つユーザーだけです。