ADD SENSITIVITY CLASSIFICATION (Transact-SQL)

適用対象: SQL Server 2019 (15.x) 以降のバージョン Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics

1 つ以上のデータベース列に秘密度の分類に関するメタデータを追加します。 分類には、機密ラベルと情報の種類を含めることができます。

データベース環境で機密データを分類すると、可視性の拡張と保護の強化が実現します。 詳しくは、「データの検出と分類」をご覧ください。

構文

    ADD SENSITIVITY CLASSIFICATION TO
    <object_name> [ , ...n ]
    WITH ( <sensitivity_option> [ , ...n ] )

<object_name> ::=
{
    [ schema_name. ] table_name.column_name
}

<sensitivity_option> ::=
{
    LABEL = string |
    LABEL_ID = guidOrString |
    INFORMATION_TYPE = string |
    INFORMATION_TYPE_ID = guidOrString |
    RANK = NONE | LOW | MEDIUM | HIGH | CRITICAL
}

引数

[schema_name] をobject_name します。 ] table_name.column_name

分類するデータベース列の名前。 現在サポートされているのは列の分類のみです。

• schema_name(省略可能) - 分類された列が属するスキーマの名前。
• table_name - 分類された列が属するテーブルの名前。
• column_name - 分類する列の名前。

LABEL

秘密度ラベルの人間が判読できる名前。 機密ラベルは、データベース列に格納されているデータの秘密度を表します。

LABEL_ID

秘密度ラベルに関連付けられている識別子。 多くの場合、システム内のラベルを一意に識別するために、一元化された情報保護プラットフォームで使用されます。

INFORMATION_TYPE

情報型の人間が判読できる名前。 情報の種類は、データベース列に格納されているデータの種類を記述するために使用されます。

INFORMATION_TYPE_ID

情報の種類に関連付けられている識別子。 多くの場合、システム内の情報の種類を一意に識別するために、一元化された情報保護プラットフォームで使用されます。

RANK

秘密度ランクを定義する定義済みの値セットに基づく識別子。 Advanced Threat Protection などの他のサービスによって使用され、順位に基づいて異常を検出します。

解説

1 つのオブジェクトには分類を 1 つだけ追加できます。 既に分類されているオブジェクトに分類を追加すると、既存の分類が上書きされます。

1 つの ADD SENSITIVITY CLASSIFICATION ステートメントを使用して複数のオブジェクトを分類できます。

システム ビュー sys.sensitivity_classifications を使用すると、データベースの秘密度の分類に関する情報を取得できます。

ADD SENSITIVITY CLASSIFICATION は、いずれかのパラメーターが指定されている場合に機能します。 LABELまたはINFORMATION_TYPEのみを指定した場合、対応する ID を指定しないと、コマンドは成功します。 ただし、 LABEL_ID と LABEL 名の間に 1 対 1 のマッピングが必要です。

RANK パラメーターは現在使用されていないため、LABELまたはINFORMATION_TYPEを持たない列に対してランク値を持つだけでは値は追加されないため、避ける必要があります。 RANK パラメーターのみを指定すると、コマンドは成功しますが、これは既知の問題です。

アクセス許可

ALTER ANY SENSITIVITY CLASSIFICATION 権限が必要です。 ALTER ANY SENSITIVITY CLASSIFICATIONは、データベース権限CONTROLまたはサーバー権限CONTROL SERVERによっても提供されます。

例

A. 2 つの列を分類する

次の例では、秘密度ラベル Highly Confidential、rank Critical Information Type Financial を使用して、dbo.sales.price列とdbo.sales.discount列を分類します。

ADD SENSITIVITY CLASSIFICATION TO dbo.sales.price,
    dbo.sales.discount
WITH (
    LABEL = 'Highly Confidential',
    INFORMATION_TYPE = 'Financial',
    RANK = CRITICAL
);

B. ラベルのみを分類する

次の例では、列 dbo.customer.comments をラベル Confidential ラベル ID 643f7acd-776a-438d-890c-79c3f2a520d6で分類します。 この列では情報の種類は分類されません。

ADD SENSITIVITY CLASSIFICATION TO dbo.customer.comments
WITH (
    LABEL = 'Confidential',
    LABEL_ID = '643f7acd-776a-438d-890c-79c3f2a520d6'
);

関連するコンテンツ

• DROP SENSITIVITY CLASSIFICATION (Transact-SQL)
• sys.sensitivity_classifications (Transact-SQL)
• 権限 (データベース エンジン)
• SQL Information Protection の概要