前のページ|次のページ

暗号化

概要
開始時のリロードファイルのディスク上での暗号化
概要
キーポイント
バッキングストアライブラリの暗号化
その他の情報
SASHDATファイルのディスク上での暗号化
概要
キーポイント
暗号化設定の保護
SASHDATライブラリの暗号化
その他の情報

概要

SAS Visual Analyticsは、通信時の機密データやディスク上にある機密データを暗号化するために、プラットフォームレベルの機能を使用します。SAS Intelligence Platform: Security Administration GuideEncryption Modelを参照してください。
このトピックでは、SAS Visual Analyticsがディスクに書き出すデータのAES暗号化に関する概要を紹介します。

開始時のリロードファイルのディスク上での暗号化

概要

開始時のリロードバッキングストア内のデータの保護を強化するには、バッキングストアをメタデータに結合し、対応する保護ライブラリ上で暗号化を有効にします。
注意:
物理データをメタデータに結合することは、高度なテクニックです。
暗号化を設定する前に、SAS Guide to Metadata-Bound LibrariesOverview of Metadata-Bound Librariesを参照した上で、次のキーポイントを確認してください。

キーポイント

  • In-Memoryデータへのアクセスは、対応するバッキングストアファイルの暗号化による影響を受けません。暗号化されたバッキングストアファイルは、暗号化されていないバッキングストアファイルほどには素早く読み取りや書き出しが行えません。
  • 各メタデータ結合バッキングストアは、メタデータ内で2つの方式で表現されます。
    • 1つ目の表現は、特定のLASRライブラリのバッキングストアとして割り当てられる従来型のライブラリです。
    • もう1つの表現は、物理バッキングストアの結合先となる保護ライブラリです。
    暗号化されたバッキングストアに対する読み取り/書き出しを行うには、従来型のライブラリと保護ライブラリの両方に関して、十分なメタデータ層のアクセス許可を持つ必要があります。
  • パスフレーズ(暗号化キー値)やパスワードの入力は求められません。保護ライブラリを初めてインポートした場合、ターゲット環境でパスフレーズやパスワードを再適用する必要があります。SAS Intelligence Platform: System Administration GuidePromoting Secured Data Folders, Secured Library Objects, and Secured Table Objectsを参照してください。
  • AESを使用する場合、SAS/SECUREがインストールされ利用可能になっている必要があります。Encryption in SASSAS/SECUREを参照してください。

バッキングストアライブラリの暗号化

  1. 開始時のリロードをサポートしており機密データを含む予定のLASRライブラリのバッキングストアを特定または作成します。 開始時のリロードを有効にする方法を参照してください。
    注: バッキングストアとは、メタデータに登録されており、そのデータプロバイダライブラリとしてLASRライブラリに割り当てられているホストディレクトリのことです。
  2. 次の権限を持つユーザーとしてSAS管理コンソールにログオンします。
    • ターゲットディレクトリのホスト層制御
      • Windows上では、ユーザーはそのディレクトリに関する完全な制御権を持つ必要があります。
      • UNIX上では、ユーザーはそのディレクトリの所有者である必要があります。
    • 保護ライブラリフォルダに対するメタデータ層アクセス権。通常、SAS管理者グループは必要なアクセス権を持っています。
  3. フォルダタブで、システム次に保護ライブラリへと移動した後、右クリックし、新規次に保護ライブラリを選択します。
    注: または、まず保護ライブラリフォルダを作成した後、そのフォルダ内で新しい保護ライブラリを作成することもできます。複数の保護ライブラリを作成する場合、通常、1つ以上のフォルダを作成する方がより効率的となります。これにより、各保護ライブラリが有効なアクセス許可を親フォルダから継承できます。各保護テーブルは、その親となる保護ライブラリから有効なアクセス許可を継承します。Object Creation, Location, and Inheritanceを参照してください。
  4. 一般ページで、名前と説明を入力します。次へをクリックします。
  5. 接続データページで、次の情報を提供します。
    1. SAS Application Serverを選択します。ライブラリパス参照をクリックし、ターゲットディレクトリを選択します。
    2. ライブラリのパスワードを入力し、確認用に再度入力します。
      注意:
      ライブラリのパスワードを忘れた場合、ライブラリの結合解除や変更が行えません。
      入力したパスワードを記録します。
      注: このパスワードは有効なSAS名でなければなりません。(つまり、パスワードは、英字またはアンダースコアで始まり、文字、アンダースコア、数字を含んでいる必要があります。大文字小文字は区別されません。最大長は8文字です)。より長めの複合パスワードを作成する必要がある場合、複数のパスワードを指定チェックボックスをオンにして、複数のパスワードを指定します。
    3. 暗号化が必要チェックボックスをオンにし、はいラジオボタンをクリックします。この設定により、次のファイルが暗号化されます。
      • 当該ディレクトリ内にすでに存在していた暗号化されていないテーブル。
      • インポート操作時に当該ディレクトリに後で追加される、開始時のリロードに参加するテーブル。
      • 直接SASコードを通じて当該ディレクトリに後で追加されるテーブル。(ホストコピーユーティリティを使用して、当該ディレクトリにテーブルをコピーしないでください。)
    4. 暗号化の種類チェックボックスをオンにし、AESラジオボタンをクリックします。
    5. 先頭の暗号化キーフィールドは空白のままにします。空のディレクトリまたは暗号化されていないファイルのみを含んでいるディレクトリ用に保護ライブラリを作成する場合、このフィールドは適用されません。
      新しい暗号化キーフィールドおよび暗号化キーの確認フィールドに値を入力します。次に例を示します。
      • 入力した値を記録します。
      • 入力した値は、AESがターゲットテーブルを暗号化する際に使用する実際のキーを作成するために使用されるパスフレーズとして機能します。
      • 入力した値は、大文字小文字が区別されるため、保存する際に自動的に引用符で囲まれます。(値の入力時に引用符を含めないでください。)詳細については、SAS Data Set Options: ReferenceENCRYPTKEY=を参照してください。
    6. 完了をクリックします。確認メッセージが表示されたら、はいをクリックしてログを確認します。
  6. この新しい保護ライブラリに対するメタデータ層アクセスを確認し調節します。
    1. 新しい保護ライブラリを右クリックし、プロパティを選択します。
      注: アクセス許可をフォルダレベルで管理している場合、適切な保護ライブラリフォルダを右クリックします。
    2. 認証タブで、次の手法のいずれかを使用します。
      • 一般的なグループ(PUBLIC、SASUSERS、Visual Analyticsユーザーなど)に、すべてのアクセス許可を付与します。この単純なアプローチでは、ディスク上の暗号化を提供するためだけに保護ライブラリを使用します。
      • より選択的で制限された方法でアクセス許可を付与します。この高度なアプローチでは、保護ライブラリを使用することで、ディスク上の暗号化に加えて、拡張された認証制約を強制的に実施できます。Permissions for Metadata-Bound Dataを参照してください。次に例を示します。
        • 開始時のリロードに参加するテーブルをインポートする場合、ユーザは、対応する保護ライブラリオブジェクトに関するテーブルの作成アクセス許可を持つ必要があります。
          注: 同じ名前のテーブルがメタデータ結合バッキングストア内にすでに存在する場合、ユーザは、対応する保護テーブルオブジェクトに関するテーブルの変更アクセス許可も持つ必要があります。
        • テーブルを(開始時のリロードを使用して)リロードする場合、SAS LASR Analytic Serverをトリガして開始するユーザーは、対応する保護テーブルオブジェクトに関するメタデータの読み取りおよび選択アクセス許可を持つ必要があります。
  7. 結果を確認するには次のようにします。
    • データビルダ、エクスプローラ、デザイナで、参加テーブルをインポートします。たとえば、AESで暗号化されたバッキングストアからの開始時のリロードをサポートするLASRライブラリへとローカルファイルをインポートします。
    • Administratorで、AESで暗号化されたバッキングストアからの開始時のリロードをサポートするLASRライブラリに関連付けられているSAS LASR Analytic Serverを、いったん停止した後、再び開始します。
    • SASコードで、このバッキングストアライブラリに対してCONTENTSプロシジャを実行します。このプロシジャ出力には、テーブルが暗号化されているかどうかが示されます。
    • より詳細な検証については、Validating a Metadata-Bound Libraryを参照してください。

その他の情報

このトピックでは、操作を開始する上で役立つ情報が提供されます。別の方法と関連するタスクについては、SAS Guide to Metadata-Bound LibrariesImplementation of Metadata-Bound Librariesを参照してください。
例:

SASHDATファイルのディスク上での暗号化

概要

SASHDATファイルの保護を強化するには、SASHDATエンジンを使用するライブラリ用のディスク上でのAES暗号化を有効にします。
注意:
SASHDATファイルを暗号化すると、データ可用性やメモリ消費量に大きな影響を与える場合があります。
暗号化を設定する前に、次のセクションを確認してください。

キーポイント

  • In-Memoryデータへのアクセスは、対応するSASHDATファイルの暗号化による影響を受けません。暗号化されたSASHDATファイルは、暗号化されていないSASHDATファイルほどには素早く読み取りや書き出しが行えません。
  • 暗号化されたSASHDATファイルは、SAS LASR Authorization Service (signerとも呼ばれる)により認証された要求にとってのみ使用可能となります。認証された要求の場合、Authorization Serviceはメタデータから暗号化パスフレーズを取り出し、それをSASHDATエンジンに提供します。これにより、SASHDATエンジンは必要に応じてデータの暗号化/復号化が行えるようになります。関連する要件を次に示します。
    • 関連付けられているデータサーバーの接続オブジェクトが、Authorization Serviceを実現する必要があります。SAS Visual Analyticsでは、SASHDATファイルの暗号化は、常にsignerにより管理されます。
    • 暗号化されたSASHDATライブラリでは、関連付けられているデータの追加、削除、ロードを行うユーザーは、読み取りアクセス許可を持つ必要があります。
    • 任意の環境内で、各Hadoopサーバーは一意のホスト名を持つ必要があります。Hadoopサーバー内で、各SASHDATライブラリは一意のホストパスを持つ必要があります。
  • 暗号化されたSASHDATファイルは、そのロード時に、必ずマップ解除されたメモリを消費します。暗号化されたSASHDATファイルからロードされるLASRテーブルでは、メモリマッピングは使用できません。
  • 暗号化されたSASHDATファイルは、そのロード時に、必ず圧縮解除されます。
    注: 圧縮を使用することで、暗号化されたSASHDATファイル用のディスク領域を節約できます。ただし、暗号化されたSASHDATファイルを圧縮することでは、メモリの節約は行えません。暗号化されたファイルをロードする前に、同ファイルを暗号解除する必要があります。暗号を解除するためには、当該データが圧縮されていないことが必要となります。
  • SASHDATの暗号化設定に行った変更は、既存のSASHDATファイルには影響しません。
  • SASHDATの暗号化設定を中央で一元管理したい場合、サーバレベルでの暗号化設定を指定し、個々の関連付けられているライブラリがその設定を継承するように構成します。
  • パスフレーズ(暗号化キー値)の入力は求められません。暗号化されたSASHDATライブラリやサーバーを初めてインポートした場合、SAS Management Consoleを使用して、ターゲット環境でパスフレーズを再適用する必要があります。
    注: ソース環境とターゲット環境の両方が同一のデータインスタンスを参照している場合、そのデータのコピーや置き換えは必要ありません(同データは暗号化されたままになるため)。
  • SASHDATファイルを暗号化する場合、次の条件を満たす必要があります。
    • SAS TKGrid Encryption Extensionがインストールされており、利用可能になっていること。SAS High-Performance Analytics Infrastructure: Installation and Configuration Guideを参照してください。
    • AESを使用する場合、SAS/SECUREがインストールされ利用可能になっていること。Encryption in SASSAS/SECUREを参照してください。

暗号化設定の保護

SASHDAT暗号化設定を保護するには、SASHDATライブラリに対するメタデータの書き込みアクセス権を制限します。
メタデータの書き込みアクセス権を制限することは必須です。なぜなら、暗号化されたSASHDATライブラリに対するメタデータの書き込みアクセス権を持っているユーザーであれば誰でも、そのVA.Encryption.Enabled拡張属性を変更できるためです。この属性は、内部的な目的のためにのみ提供されています。いかなるユーザーも、VA.Encryption.Enabled属性の設定、変更、削除を行ってはなりません。その代わりに、無制限ユーザーは、次の手順に従って、ライブラリのオプションタブを使用して設定を管理できます。
注: メタデータの書き込みアクセス権を制限することには副作用があります。特定のライブラリに対するメタデータの書き込みアクセス権を持たないユーザーは、そのライブラリにテーブルを登録することや、同ライブラリからテーブルを削除することができません。
たとえば、最大の保護を実現するために、暗号化されたSASHDATライブラリの権限タブに関するメタデータの書き込みアクセス権の明示的な拒否を、PUBLICグループに付与したとします。この設定では、無制限ユーザーのみが、当該ライブラリへのメタデータの書き込みアクセス権を持ちます。このライブラリに対するSASHDATテーブルのメタデータの追加/削除アクションは、無制限ユーザーによって実行される必要があります。

SASHDATライブラリの暗号化

  1. 空のターゲットディレクトリを参照しているSASHDATライブラリを特定します。
    注: この手順は、既存のSASHDATライブラリに適用されます。SASHDATエンジンを使用する新しいライブラリを作成する方法については、SAS Intelligence Platform: Data Administration Guideを参照してください。
  2. 無制限ユーザー(sasadm@saspwなど)としてSAS管理コンソールにログオンします。
  3. 当該ライブラリに関して、暗号化オプションを設定し、メタデータ層のアクセス許可を調節します。
    1. プラグインタブで、データライブラリマネージャノードを展開した後、ライブラリノードを展開します。ターゲットライブラリを右クリックし、プロパティを選択します。
    2. オプションタブで、次の変更を行います。
      1. 暗号化の有効化フィールドで、はいラジオボタンを選択します。
        ヒント
        ライブラリが、それ自身に関連付けられているデータサーバーから暗号化設定を継承するように設定する場合は、サーバーから継承するラジオボタンを選択します。続いて、データサーバーのオプションタブで暗号化が有効になっていることを確認します。継承された設定は動的に反映されます。サーバーレベルの変更は、サーバーレベルの設定を継承するよう設定されているすべての関連ライブラリに影響します。
      2. 新しい暗号化キーフィールドおよび暗号化キーの確認フィールドに値を入力します。
        注意:
        パスフレーズを紛失すると、取り返しがつかない形で、暗号化データへのアクセスはすべて失われます。
        このため、入力したパスフレーズは必ず記録しておいてください。
        次に例を示します。
        • 入力した値は、AESがターゲットテーブルを暗号化する際に使用する実際のキーを作成するために使用されるパスフレーズとして機能します。
        • 入力した値は、大文字小文字が区別されるため、保存する際に自動的に引用符で囲まれます。(値の入力時に引用符を含めないでください。)詳細については、SAS Data Set Options: ReferenceENCRYPTKEY=を参照してください。
    3. 権限タブで、暗号化されたライブラリへのデータの追加、暗号化されたライブラリからのデータのロード、暗号化されたライブラリからのデータの削除を行うユーザーに対して、読み取りアクセス許可を付与します。ほとんどの場合、次のグループには読み取りアクセス許可を付与するだけで十分です。
      • Visual Analyticsデータ管理者
      • Visual Data Builder管理者
      注: 暗号化されていないSASHDATライブラリの場合、読み取りアクセス許可は必要ありません。
      注: 読み取りアクセス許可を、ライブラリに直接付与する代わりに、その親フォルダに付与することもできます。
    4. 権限タブで、メタデータの書き込みアクセス権が制限されていることを確認します。 暗号化設定の保護を参照してください。
    5. OKをクリックします。
  4. 関連付けられているサーバーの接続オブジェクト上で、LASR Authorization Serviceを有効にします。
    注意:
    LASR Authorization Serviceが有効化されていない場合、追加されたテーブルは暗号化されないため、暗号化テーブルは利用できません。
    1. プラグインタブで、サーバーマネージャを展開し、ターゲットデータサーバーを選択します。
    2. 右ペインで、サーバーの接続オブジェクトを右クリックした後、プロパティを選択します。
    3. オプションタブで、LASR 認証サービスを使用チェックボックスがオンになっていることを確認します。
  5. 結果を確認するには次のようにします。
    • テーブルをSASHDATライブラリに追加します。
    • SASHDATライブラリに含まれているテーブルをSAS LASR Analytic Serverにロードします。
    • 共存HDFSF内にあるSASHDATファイルの場合、AdministratorのHDFSタブで、各テーブルの暗号化プロパティを確認します。 HDFSタブについてを参照してください。
    • SASコードで、このSASHDATライブラリに対してCONTENTSプロシジャを実行します。このプロシジャ出力には、テーブルが暗号化されているかどうかが示されます。

その他の情報

パスフレーズを更新するには次の操作を行います。
  1. 現時点でターゲットディレクトリにテーブルが含まれている場合、それらのテーブルを別の場所に移動します。
    ヒント
    これを行うには、既存のテーブルをメモリにロードした後、物理テーブルとそれに対応するメタデータ定義の両方を削除します。
    注意:
    テーブルのメタデータを削除する場合、その影響を受けるすべてのオブジェクト(たとえば明示的な行レベルのアクセス許可など)の修復または再作成を手動で行う必要があります。
  2. 無制限ユーザー(sasadm@saspwなど)としてSAS管理コンソールにログオンします。適切なサーバーまたはライブラリ上で、新しい暗号化キーフィールドおよび暗号化キーの確認フィールドに新しい値を入力します。
  3. ステップ1でテーブルを削除した場合、それらをターゲットディレクトリに戻します。テーブルがターゲットディレクトリに書き戻されると、それらのテーブルは、新しい暗号化キー(更新されたパスフレーズを使用して生成されたもの)を使用して暗号化されます。
    ヒント
    ステップ1で共存HDFSまたはNFSマウントされたMapR内に含まれているテーブルをロードした場合、それらのテーブルを対象ディレクトリに戻して保存するにはデータビルダを使用します。
詳細については、SAS LASR Analytic Server: Reference GuideData Encryptionを参照してください。
前のページ|次のページ|ページの先頭へ
Copyright © SAS Institute Inc. All Rights Reserved.
最終更新: 2018/10/24