企業アプリケーション、ITツール、情報セキュリティソリューション、さまざまな開発されたアプリケーションなどの新しい情報システムのそれぞれの試運転には、常にテスト環境を形成し、テストデータを入力するプロセスが伴います。 これを行うには、企業はデータベースを複製してシステムテストプロセスをサポートする必要があります。
明確にするために、テストデータの使用が必要な情報システムを実装するためのプロジェクトの主要な段階の概要を説明します(図1)。
図1
実装された情報システムのテスト段階には以下が含まれ ます
•テスト環境の準備。
•データ入力。
•実装されたシステムの操作性の確認、開発中のソフトウェアの検証と検証。
•検出されたエラーの修正。
これらの段階では、企業は、社内および請負業者組織の両方で、情報システムを実装するためのテストデータを取得する際の組織的な問題に直面しています。 主な問題は、運用データのコピーに企業の重要な情報が含まれることが多いことです(図2)。その結果、このデータの所有者とテストに必要な人々の間で内部矛盾が発生することが多く、内部および外部の要件を遵守する必要もあります標準。 所有者によるデータの発行とテストプロセスの責任者の任命に同意するプロセスには無期限の時間がかかり、プロジェクトで計画されている時間よりもはるかに長く待たなければなりません。 これはすべて、システムの運用開始を遅らせ、したがって、金銭的および評判上の損失につながる可能性があります。
図2
新しいソリューションを商業運営に導入するプロセスでは、組織の従業員、派遣社員、インターン、およびアウトソーシング会社/パートナーの従業員が参加できます。 たとえば、開発者、プログラマ、アナリスト、テスター、データベース管理者、およびプロセスを制御する部門の従業員(図3)。
図3
このプロセスに参加すると、次のような膨大な数のクエリ/質問が発生します(図4)。
図4
また、テストデータを操作するときに発生する次の問題を強調することもできます 。
•適切な権限のない多数の人々のデータへの不正アクセス。
•テスト環境および開発環境におけるセキュリティポリシーとデータ保護ツールの欠如。
•重要なデータのサードパーティ(外部開発者、テスター/パートナー)への転送を制御できない。
•テストシステムから受け取った情報を使用して、本稼働システムに対する攻撃を整理する機能。
•データの手動または半自動の非個人化のプロセスには時間がかかり、エラーが発生しやすい。
•テストのためにデータベースを手動または半自動で切り捨てるプロセスには時間がかかり、エラーが発生しやすくなります。
このような問題を排除し、テストデータへのアクセスを取得するプロセスを高速化し、テスト環境で発生する外部および内部の脅威から情報を保護するには、データマスキングツールの使用が役立ちます。
データマスキングは、実際のデータではなく、不正確な/架空のデータをユーザーに提供することにより、重要なデータの誤用を防ぐのに役立つテクノロジーですが、もっともらしい(以下、現実的と呼びます)。 マスクされたデータがどのように見えるかの明確な例を示します(図5)。
図5
データマスキングにはいくつかのタイプがあります 。
• 静的マスキング -テスト環境に保存されたデータを保護するために使用されます。
• 動的マスキング -本番データベースにアクセスするときに、重要なデータをリアルタイムで置換できます。 実際のデータはデータベースを離れません。 たとえば、中間レコードなしで、完全に現実的なもので、要求段階で置き換えられます。
この記事では、静的マスキング手法の適用とその利点を検討し、ソフトウェアを使用せずにソフトウェアをテストする際に発生する問題について説明します。
静的マスキングは、暗号化やトークン化とは異なり、データを一方向に変換し、元のデータを受信、抽出、または復元できない定義済みのルールに基づいて、重要なデータを現実的なデータに置き換える不可逆的なプロセスです。 、それにより重要な情報が漏洩するリスクが高まります。
専用ツールを使用したデータの静的マスキングのプロセスは次のようになります 。
•適切なアクセス権を持つ従業員による本番データベースのコピーの作成。
•構成されたルールに従ってデータベースに含まれる情報の量を削減する(必要な場合)。
•指定された検索パターンに基づいて、データベースのコピーで重要なデータを検索します。
•カスタマイズされたパターンとルールに従って、見つかった重要なデータのマスキング。
•データベースの偽装コピーを開発者/テスターに提供する。
静的マスキングは、現実的なデータ、ソフトウェア開発、アプリケーションテストを使用する必要がある分析、トレーニングコースに使用されます(図6.)。
図6
静的データマスキングツールの使用は、企業が重要なデータを失うリスクを軽減し、それを保護し、外部および内部の規制当局とIS規格(PCI DSS、FZ-152など)の要件を満たすのに役立ちます。 静的データマスキングテクノロジーの使用により、重要なデータが非実稼働環境(開発、テスト環境)に収まらないようにしますが、会社の従業員または契約組織がこの保護されたデータを適切な範囲で使用する可能性は残ります。
静的データマスキングのソリューションにより、確立されたセキュリティルールに従って、テスト環境に転送するための現実的なデータを適切な量の保護されたコピーにすばやく提供できます。 これにより、テスト環境の準備におけるデータベース管理者の作業の効率が向上し、さらに、静的マスキングの特定のソリューションに応じて、必要に応じてデータベースを正しくトリミングすることにより、保存データの量が削減されます。
静的データマスキングのソリューションを使用したアプリケーションの開発とレポートの作成だけでなく、新しいソリューションの運用とテストへの投入にかかる時間が大幅に短縮されます。プログラマー、エンジニア、テスター、開発者は、新しいテスト環境を迅速に展開してテストを実行できます。
このため、データへのアクセス権の付与に関連する問題の解決など、多数の参加者が関与することなくプロジェクトが時間通りに完了します。これにより、企業は新しい情報システムを運用する際の人件費を最小限に抑え、管理者の生産性を高め、手動プロセスを排除し、一貫して支援します情報セキュリティポリシーを適用することにより、非実稼働環境で重要なデータが失われる可能性を減らします。
投稿者Yana Shevchenko、マネージャー、プロモーション部、Informzashita、y.shevchenko @ infosec.ru