データマスキングを行う・行わない、行う場合の概略パターンはPDEL専用INIファイルのセクション定義で決定します。行う場合の詳細なデータマスキングの方法はマスクルール定義ファイルに記述します。以下にマスクルール定義ファイルの仕様を記します。
- ファイル配置ディレクトリおよびファイル名称
PDEL専用INIファイルで定義します。
-
ファイル内容
-
一つのレシピにつき、一行定義します。(レシピが6種類あれば6行定義します。)
-
各行は「レシピ名」「復号成功時の名称」「復号失敗時の名称」「適用除外の権限レベル」の4フィールドをコロン(:)で区切って定義します。
-
「復号失敗時の名称」は省略可能です。
-
PDEL専用INIファイルでの定義が「システム利用者の権限レベルに応じたデータマスキングを行う」場合「適用除外の権限レベル」は必須です。
-
PDEL専用INIファイルでの定義が「データマスキングを無条件に行う」場合、「適用除外の権限レベル」は省略可能ですが、定義されていてもエラーとはなりません。(何らかの調査を行うため、本番環境をコピーした環境を構築する場合、PDEL専用INIファイルを「データマスキングを無条件に行う」に変更するようなケースを想定したうえでの仕様です。)
-
「適用除外の権限レベル」にPDEL-MASK-PRIVATEを指定すると、システム利用者のうち、権限レベルの有る利用者は、常にマスキングが行われます。(権限レベルの有る利用者とは「社内システムの利用者」「B2B・B2C型システムにおいて、システム運営会社側に属する利用者」を想定しています。)
-
「適用除外の権限レベル」にPDEL-MASK-PUBLICを指定すると、権限レベルの有無にかかわらず、全システム利用者で常にマスキングが行われます。(権限レベルの無い利用者とは「B2B・B2C型システムにおいて、サービスを享受する側の利用者」を想定しています。)
-
シャープ(#)で始まる行はコメント行です。
-
改行コードは[LF]・[CR][LF]どちらでも構いません。
-
文字コードは、コメントを除くコマンド行がASCIIであれば、Shift-JIS・EUC-JP・UTF-8何でも構いません。
-
「復号成功時の名称」「復号失敗時の名称」で使用できる文字は、アルファベット大文字と小文字、数字、アンダースコア( _ )、ハイフン( - )、プラス( + )、アスタリスク( * )、ドット( .)、スラッシュ( / )で、1桁~40桁の範囲で定義できます。
-
動作イメージ例
【6項目をPDELで暗号化したシステムのマスクルール定義ファイルの例】
(この例における権限レベルは 1:初級スタッフ 2:スタッフ 3:リーダー 4:マネージャー です。)
行番号 |
マスクルール定義ファイル内容 |
レシピが対象とする情報 |
1 |
V-NAME:NAME:ErrNAME:2 |
氏名 |
2 |
V-MAD:MAD:ErrMAD:3 |
メールアドレス |
3 |
V-TEL:TEL:ErrTEL:3 |
電話番号 |
4 |
V-ADDR:ADDR:ErrADDR:4 |
住所 |
5 |
V-CARD:CARD:ErrCARD:PDEL-MASK-PRIVATE |
クレジットカード |
6 |
V-PASS:****:Err****:PDEL-MASK-PUBLIC |
パスワード ※導入時の注意点にも記していますが パスワードをPDELで暗号化することは 推奨しません。 |
上記のようなマスクルール定義ファイルでアプリケーションで顧客データを照会すると、次のように表示されます。
- 復号に成功した場合の利用者ごとの表示例
項目 |
権限レベルの有る利用者(下段は保有権限レベル) |
権限レベルの無い利用者 |
1 |
2 |
3 |
4 |
氏名 |
NAME |
実データ |
実データ |
実データ |
実データ |
メールアドレス |
MAD |
MAD |
実データ |
実データ |
実データ |
電話番号 |
TEL |
TEL |
実データ |
実データ |
実データ |
住所 |
ADDR |
ADDR |
ADDR |
実データ |
実データ |
クレジットカード |
CARD |
CARD |
CARD |
CARD |
実データ |
パスワード |
**** |
**** |
**** |
**** |
**** |
- 復号に失敗した場合の利用者ごとの表示例
項目 |
権限レベルの有る利用者(下段は保有権限レベル) |
権限レベルの無い利用者 |
1 |
2 |
3 |
4 |
氏名 |
ErrNAME |
ErrNAME |
ErrNAME |
ErrNAME |
ErrNAME |
メールアドレス |
ErrMAD |
ErrMAD |
ErrMAD |
ErrMAD |
ErrMAD |
電話番号 |
ErrTEL |
ErrTEL |
ErrTEL |
ErrTEL |
ErrTEL |
住所 |
ErrADDR |
ErrADDR |
ErrADDR |
ErrADDR |
ErrADDR |
クレジットカード |
ErrCARD |
ErrCARD |
ErrCARD |
ErrCARD |
ErrCARD |
パスワード |
Err**** |
Err**** |
Err**** |
Err**** |
Err**** |
上記は、PDEL専用INIファイルのMASK_ENV_COMセクションにSKIP_DECRYPT="false"と定義された場合の例です。SKIP_DECRYPT="true"と定義されれば、この箇所は復号成功時の情報(Errを除いた文字列)が表示されます。
※デモでは、様々なパターンのデータマスキングが確認できます。