Treasure Data CDPのセキュリティ機能

2021年4月5日

Audit Log

Treasure Data CDPでのユーザーアクティビティを閲覧するための機能であり、StandardとPremiumの2種類をご提供しています。
ドキュメント

推奨ユーザー

データ利用に関する監査がある企業
データを外部と連携する企業
パートナー企業にTreasure Data CDPの開発や運用を委託している企業
複数のプロジェクトでTreasure Data CDPを扱っている企業

Premium

機能有効化後の全てのユーザーアクティビティをDBに格納することができ、SQLにてデータの取得が可能です。このDBにはAdmin権限以上のユーザー及びアクセス権限を与えられたユーザーがアクセスでき、アクティビティの監視、及び監査目的のみならず、非アクティブユーザーの定期的な洗い出しや特定Jobが行われたかどうかを定期的にチェックする、などの用途に利用することができます。
取得項目はこちらです。

Standard

過去24時間のログをコンソール上で確認、あるいはCSVにダウンロードすることができます。
取得項目はこちらです。

Policy Based Permission

ポリシーという権限管理グループごとにアクセスルールを設定して、権限管理を用意にするための機能です。また、アクセス権限の管理項目が増え、より細かく設定できるようになります。
ドキュメント

推奨ユーザー

パートナー企業にTreasure Data CDPの開発や運用を委託している企業
複数のプロジェクトでTreasure Data CDPを扱っている企業
データを外部と連携する企業

活用イメージ

大量のユーザーを管理する際、一人ずつ権限設定を行うのではなく、グループポリシーで権限を管理することで管理コストを抑えることができます。
以下の図のように組織での役割によって権限を管理することによって、意図しないデータへのアクセスや操作を防ぐことができます。

また、このオプションを有効化することにより以下の権限管理項目が追加されます。新しいAuthenticationの作成や、外部へのデータ連携ができるユーザーを制限することにより、より安全にCDPを利用していただくことができるようになります。

Authentication：”VIEW”または”EDIT”のPolicyを設定可能
Sources：“Full”または”None“のPolicyを設定可能
File Upload：利用可否
Result Export：利用可否 ※Audience StudioのActivationにも適用されます。
Project-level Workflow：Project単位でWorkflowの権限設定
Audience-level Master Segment Config：”NONE”、”VIEW”または”EDIT”のPolicyを設定可能
Audience-level access：Audience、フォルダ単位での権限設定

今後の開発予定について

AuthenticationやSourceをObject Levelで権限設定できる機能を開発中です。（2021年3月現在）これにより、ポリシー毎に特定の連携先のみ利用ができるように設定することが可能となります。

Single Sign-On

Treasure Data CDPではオプションを利用しなくともGoogleアカウントでのシングルサインオンは可能ですが、Azure AD、Okta、PingOne for Enterprise、PingFederate BETAの4種類のIDフェデレーションサービスと連携することが可能です。Adminユーザーはログイン方法をSSOに限定することや通常通りIDとパスワードを利用するなどの指定ができます。
ドキュメント