見出し画像

Tableau DATA Saber Zen問答:DBアクセス権限に関して思うこと 〜 データの民主化とデータ利用者のリテラシー〜

sgto

Tableau DATA Saber、絶賛学習中です。
今日は、Boot Camp ZEN問答のなかで、DBアクセス権限に関わるものを見て考えたことを書いてみます。

こんなことを考えました。

  • DBアクセスを一律ダメだというIT部門は終わってるw

  • Tableauだったら、とかそう言う話じゃない。DBへの権限が要る/要らないのはこの範囲だから大丈夫、って言う話でもない。

  • どのツールでも共通で大事なのは、利用するデータとその目的から見た、セキュリティ・コンプライアンスの遵守。(セキュリティ大丈夫?プライバシーポリシーで同意を得ている利用の範囲内?とか)

  • 「広くデータを利活用できる世界」が良いのは間違いない。そのためにはデータの民主化が必要。

  • ただ、民主化されたデータを利用する側のリテラシーがかなり重要だよね。(ここで問題起こすと、データ民主化が進まない・後退しちゃう)


ZEN問答の問題と思ったこと

実際の問題文は以下です。

IT部門に相談したら「Tableau Desktopから直接DBに接続したい?そんなのダメだよ。DBに負担かけられたくないし、DBには色んな情報入っているから許可できないよ」とそっけなく言われました。あなたならどうする?

https://datasaber.world/

こちらの問題自体の回答選択肢・解説はしません。

まず、この設問を見たときに思ったことは、「このIT部門、大丈夫か?」でした。
「DBに負担かけられたくないし」というのは、一定理解できます。
が、「DBには色んな情報入ってるから許可できない」というところが問題だな、と思いました。
DBデータ全体で言うと、そりゃ色んなデータがあるし、許可できないデータもあるでしょう。
でも、それらがあるからといって、データへのアクセスを一切許可しない、と言ってしまうと、データの持ち腐れであり、データ活用なんて出来ません。

ぶっちゃけ、セキュリティ観点で問題なければ、対象データを抽出したViewをDBサーバ上で作成し、そこだけにアクセスできる権限ロールを割り当てたユーザを出せばいいはず。

実際にやるべきこと

ということで、このシチュエーションで本来やるべきことだと自分が考えたのは以下。

  • ①目的・用途・対象データの確認

    • データの利用目的は何か。その上でアクセスしたいデータは何か。

    • データの利用目的・参照が、コンプライアンス・セキュリティなどの観点で問題ないか。

  • ②↑で課題がある場合、その対策

    • 秘匿すべきデータの除外や、マスキング処理

    • プライバシーポリシー・データ利用ポリシーを再取得するか、etc

  • ③実現方法の検討

(ちなみに、ZEN問答の回答選択肢には、こんな内容は全然含まれてません…笑)

"DBへのアクセス権"は問題なのか?

いろんなユーザにデータ、以下のような方法になるかと思います。

① DBサーバ側でアクセスして良いデータだけに絞ったViewと、そこだけにアクセスできるユーザを払い出す。(アクセスしていい人だけに)

② Tableauや、BIツールやスプレッドシートにDBのデータを取り込んだ上で、それらのツールをアクセスして良いユーザに開放する。
ツールがDBからデータを取得する方法としては以下2つ。
a.①で絞ったViewから取得する
or
b.ツールの管理者が信用できるなら、ツール側で取り込むときにアクセスして良いデータに限定してもらう。

これらの方法だと、やり方は違うものの、結局、利用者は必要なデータにアクセスできます。
つまり、DBのアクセス権を全員に払い出そうが、払い出さなかろうが、Tableauだろうが他のツールだろうが、何もリスクは変わらない、と言う理解です。

最初に述べた通り、要は、ちゃんと安全なデータに限定されているか、に尽きます。
そうした上で、皆が安心してデータを利用できる状態=データが民主化されている状態、を作っていくことが本当にやるべきことだと思っています。

見られるデータが安全なものに限定されていれば大丈夫なのか?


では、このようにデータが民主化されている状態では、リスク・問題はなく、データを自由に利活用して良いか、というと、そうではありません。

利用する側の用途が、本当に問題ないか、ということを利用者が考え、判断する必要があります。
例えば、アクセスできるデータが安全なものだとして、「このデータがあるからこういう分析をした上で、お客様にこんな価値提供ができるはずだ!」とか「このデータは自分も見えるし使っていいやつだ。分析してくる会社に渡してもっと詳細な分析を依頼しよう」って思っちゃうかもしれません。
が、これが本当にやっていいことなのか、と言うのはデータが安全なものである、ということとは別の話です。
データを預けていただいたお客様のプライバシーポリシーで同意を得ている利用範囲なのか、といった観点での判断は利用者自体が行う必要があります。

まとめ

このZEN問答でいうと、IT部門とDATA Saberが会話すべき内容は、

  • まず、データの利用目的・対象データを擦り合わせ、公開にセキュリティ観点での問題がないかを確認する。

  • 公開データのセキュリティ担保などをどちらでどう実装するかを、性能・コスト・利用ユーザの範囲や利用想定ツールから協議する。

  • その上で、「どうやって広い利用者に、正しい利用用途の範囲を認識・理解してもらうか」も認識を合わせる

というのが自分の回答だな、と思っています。
(ZEN問答には、こういった内容の回答選択肢は全くありませんw)

この記事が気に入ったらサポートをしてみませんか?