Enterprise Watch
最新ニュース

システムエグゼ、DB開発検証用の疑似データを作成するツール

情報の意味を保ったまま“個人情報もどき”に変換

営業本部 プロダクトソリューション部の関口達也次長

DB Secure Utilityの概要
 株式会社システムエグゼは2月29日、データベース(DB)開発における情報漏えい対策と品質向上を支援するツール「DB Secure Utility」を発表した。同日から販売を開始する。

 DB Secure Utilityは、DB開発におけるテスト・検証の効率と精度を向上するためのユーティリティソフト。システムエグゼが独自に開発した純国産の製品である。

 DB開発を高品質に行うにはテスト・検証が不可欠だが、これがなかなか容易ではない。営業本部 プロダクトソリューション部の関口達也次長によると、「昨今はセキュリティ・コンプライアンスの観点から本番環境を利用して検証することができず、別途検証用のデータを作成してテストするのが一般的。しかし開発環境によっては、検証用データの作成に数千万円から数億円の開発コストがかかることもあり、また手作業でデータを作成するため、仕様漏れや勘違い、テストケース漏れなどが発生する可能性もある。これがDB開発全体の品質・効率を下げる原因となっている」という。

 もう1つ挙げると、従来検証用データを作成する場合、単純なマスキング変換が利用されるケースが多い。これは例えば、電話番号をすべて「*」マークに置き換える変換だ。こうすることでテスト中に本番環境に格納された個人情報の漏えいを防ぐことは可能になるが、一方で「*」マークに置き換えられたデータに対してテストを行っても、現実的な検証にならないという問題がある。


機能一覧
 この問題をDB Secure Utilityが解決する。同製品の大きな特長は「自動解析」と「疑似データ変換」というユニークな機能を備える点。これにより、本番データから検証用の疑似データを安全かつ自動的に作成できるという。

 疑似データ変換機能では、自動解析を行うことで元データの文字列の意味を解釈。個人情報と判断される氏名、住所、電話番号などの情報を、記号ではなく類似した内容の文字列に変換することが可能になる。


 例を挙げると、「東京都千代田区」を「東京都中央区」など、情報としての意味を保ったまま、本番データとは内容の異なる類似データに変換することができるのだ。同様に氏名に関しては、あらかじめ100種類ずつ用意された架空の性と名を並び替えることで疑似データを作成できたり、電話番号なら数値をランダムに変換することができる。

 とはいえ、それ以外に変換できないわけでなく、設定を変えればマスキング変換することもできるし、氏名を住所に置き換えるような変則的な変換にも対応する。この辺りの自由度は高く、ユーザー自ら疑似データサンプルをカスタマイズすることも可能。システム環境や用途によって扱うデータは多種多様なので、こうした自由度を生かして、検証するに当たって実用的な変換を行えるようになっている。

 「このため、本番環境に近い環境でテストすることが可能。結果、テスト効率とシステム品質を向上させることができる」(関口次長)のがメリットだ。

 なお、自動解析機能により個人情報を抽出する仕組みについては、「細かいアルゴリズムを明かすことはできないが、概要としてはDBのカラム、タイプ、および実データを解析することで、個人情報とおぼしきものを自動的に引っ張ってくる」(同氏)とのこと。しっかりとした設計ルールに基づいて開発されたシステムであれば、個人情報を扱うカラム名があらかじめ統一されている場合もあるだろう。その際は、カラム名のキーワードを登録しておけば、“そこに個人情報が格納されている”ということを機械的に判断させることも可能という。

 そのほかの機能としては、「変換処理レポートの発行」に対応。テストに際して、本当にきちんとデータが変換されたのか、報告書や社内のエビデンスとして利用できる。

 また「データアンロード・ロード機能」および「データベースダイレクトロード機能」も搭載。「通常、テストに際しては、一度個人情報をファイル化して行うのが一般的」(同氏)だが、その場合、当然情報漏えいのリスクが高まることになる。そこで両機能により、DB Secure UtilityをインストールしたPCから直接本番環境のDBに接続してデータ変換を行い、そのまま検証環境のDBへ投入することが可能になっている。


トップ画面。疑似データ作成から検証用DBへの投入までを一括して行うコースと、それぞれを分けて行うコースが選択できる。本番環境と検証環境のネットワークが異なる場合に有効だ 本番環境のDBを選択 中に含まれるカラムが抽出された様子。個人情報は自動的に検出され、デフォルトで変換を行う設定となっている。このまま実行ボタンを押せば変換できるが、ここで設定を変えることも可能。

これは変換プレ実行した様子。設定した内容でどう変換されるかをシミュレーションすることが可能 本番環境からアンロードし、データ変換し、検証環境へのロードを一気通貫で行っている様子 変換処理レポート

エグゼソリューション、取締役社長の高橋立広氏
 稼働環境は、Windows Server 2003。対応DBは、Oracle Database 9i/10g。今後、DB2やSQL Server対応版も開発する予定とのこと。

 提供形態としては、「ライセンス買い取り」と「レンタル」の2種類を用意。買い取りの場合は、ライセンス価格が480万円(税別)/サーバー、保守費用が96万円(同)/年。1年間レンタルの場合は、保守費用込みで200万円(同)/年。2年間レンタルの場合は若干安くなり、保守費用込みで180万円(同)/年。そのほかテスト試用の1カ月レンタルも行い、価格は保守費用込みで30万円(同)/月としている。

 販売は子会社のエグゼソリューションが担当する。販売戦略について同社の取締役社長の高橋立広氏は、「金融機関や大規模システムの開発を行う上場企業などのエンタープライズ領域がターゲット。当初は直販・代理店販売の両方で展開し、数年後にはほとんどを代理店販売としていく」とし、初年度20システム・1億円を、3年後には5億円の売り上げをめざすとした。



URL
  株式会社システムエグゼ
  http://www.system-exe.co.jp/
  プレスリリース(PDF)
  http://www.dbsecure-utility.com/pdf/press_080229.pdf


( 川島 弘之 )
2008/02/29 18:37

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.