カスタマーレプレゼンタティブチームの四柳 裕識です。
顧客データやアクセスログなどの社内データを統合し、施策へ活用することができるTreasure Data CDP。重要なデータを扱うだけにセキュリティ対策を十分に行うことが必要です。
特に、大規模なプロジェクトになるとユーザーが増え、権限管理が煩雑になってしまうことや、どんな操作をしているのかを把握することも難しくなります。
そういった課題を解決するために、Treasure Data CDPでは以下の4つのセキュリティオプションを提供しています。
今回は、それらの機能を紹介いたします。
Audit Log
Treasure Data CDPでのユーザーアクティビティを閲覧するための機能であり、StandardとPremiumの2種類をご提供しています。
ドキュメント
推奨ユーザー
- データ利用に関する監査がある企業
- データを外部と連携する企業
- パートナー企業にTreasure Data CDPの開発や運用を委託している企業
- 複数のプロジェクトでTreasure Data CDPを扱っている企業
Premium
- 機能有効化後の全てのユーザーアクティビティをDBに格納することができ、SQLにてデータの取得が可能です。このDBにはAdmin権限以上のユーザー及びアクセス権限を与えられたユーザーがアクセスでき、アクティビティの監視、及び監査目的のみならず、非アクティブユーザーの定期的な洗い出しや特定Jobが行われたかどうかを定期的にチェックする、などの用途に利用することができます。
- 取得項目はこちらです。
Standard
- 過去24時間のログをコンソール上で確認、あるいはCSVにダウンロードすることができます。
- 取得項目はこちらです。
Policy Based Permission
ポリシーという権限管理グループごとにアクセスルールを設定して、権限管理を用意にするための機能です。また、アクセス権限の管理項目が増え、より細かく設定できるようになります。
ドキュメント
推奨ユーザー
- パートナー企業にTreasure Data CDPの開発や運用を委託している企業
- 複数のプロジェクトでTreasure Data CDPを扱っている企業
- データを外部と連携する企業
活用イメージ
- 大量のユーザーを管理する際、一人ずつ権限設定を行うのではなく、グループポリシーで権限を管理することで管理コストを抑えることができます。
- 以下の図のように組織での役割によって権限を管理することによって、意図しないデータへのアクセスや操作を防ぐことができます。
また、このオプションを有効化することにより以下の権限管理項目が追加されます。新しいAuthenticationの作成や、外部へのデータ連携ができるユーザーを制限することにより、より安全にCDPを利用していただくことができるようになります。
- Authentication:”VIEW”または”EDIT”のPolicyを設定可能
- Sources:“Full”または”None“のPolicyを設定可能
- File Upload:利用可否
- Result Export:利用可否 ※Audience StudioのActivationにも適用されます。
- Project-level Workflow:Project単位でWorkflowの権限設定
- Audience-level Master Segment Config:”NONE”、”VIEW”または”EDIT”のPolicyを設定可能
- Audience-level access:Audience、フォルダ単位での権限設定
今後の開発予定について
AuthenticationやSourceをObject Levelで権限設定できる機能を開発中です。(2021年3月現在)これにより、ポリシー毎に特定の連携先のみ利用ができるように設定することが可能となります。
Single Sign-On
Treasure Data CDPではオプションを利用しなくともGoogleアカウントでのシングルサインオンは可能ですが、Azure AD、Okta、PingOne for Enterprise、PingFederate BETAの4種類のIDフェデレーションサービスと連携することが可能です。Adminユーザーはログイン方法をSSOに限定することや通常通りIDとパスワードを利用するなどの指定ができます。
ドキュメント
推奨ユーザー
- 既にIDフェデレーションサービスを利用している企業
- Treasure Data CDPのユーザーや既に活用しているサービスが多い企業
連携イメージ
Private Connect
Treasure Dataのコアサービスにインターネットを経由せず、閉域でのアクセスのみを可能とする機能です。セキュリティメリットはある一方で、多数の機能が制限されることもある、一部金融機関のご契約企業様にご活用いただいております。
推奨ユーザー
- 金融機関等のセンシティブなデータを扱う企業
インターネットに接続できないことにより制限される機能
- Data Tank
- IP Whitelist
- Custom Scripting(機能自体は利用できますが、Treasure Data CDPからの読み込み、及び書込みができません)
- Treasure Insights
- Utilization情報の確認
- Single Sign-On
- Live Chat(サポートエンジニアとのチャット)
- 各種Helpコンテンツへのアクセス
セキュリティオプションにご興味のある方は各カスタマーサクセス担当までご連絡ください。