Power BI の秘密度ラベルとセキュリティレベルの違いと設定シチュエーション
以下の通り、Power BI の秘密度ラベルとセキュリティレベルの違いを整理してみました。それぞれの設定が適用されるシチュエーションの例を表形式で示したものです。
| 項目 | 秘密度ラベル (Sensitivity Labels) | セキュリティレベル (Row-Level Security, RLS) |
|---|---|---|
| 目的 | コンテンツ全体(データセット、レポート、ダッシュボード)の機密性を分類・保護する。 | データモデル内の特定のデータ行のアクセス権を制限する。 |
| 適用範囲 | - レポート、ダッシュボード、データセット、Excelファイルなどのコンテンツ全体に適用可能。 | - データモデル内の行単位のデータに適用され、Power BI レポートやダッシュボードに反映される。 |
| 設定単位 | - ファイル単位またはデータセット単位で適用。 | - ユーザー属性やグループ属性に基づいて動的に設定可能。 |
| 管理者の制御レベル | - 管理者は、秘密度ラベルごとにポリシーを設定(暗号化、透かし、外部共有の可否など)。 | - 管理者または開発者がデータモデル内で RLS を定義し、特定のユーザーやグループに割り当てる。 |
| 使用例: 機能の目的 | - ファイルやレポート全体に対する暗号化や共有制御を適用(例: 外部共有のブロック、透かし追加)。 | - データ行単位でアクセス制御を設定し、特定のユーザーだけが見るべきデータを制限する(例: 部門別売上データ)。 |
| 外部共有への影響 | - 外部共有が制限される場合がある(例: 「社外秘」ラベルが設定されたレポートは外部共有不可)。 | - 外部共有自体は可能だが、共有されたレポート内で表示されるデータは RLS に基づいて制御される。 |
| 透過的なユーザー体験 | - レポートやデータセット全体に適用されるため、ユーザーには機密度ラベルの存在が明示される(例: 透かし、バナー表示)。 | - RLS による制御はユーザーに直接見えず、単に表示データが制限されているように見える。 |
| 設定シチュエーション例 | - 全体の機密性を管理したい場合 | - データごとのアクセス権を制限したい場合 |
| - 例1: 財務レポートに「社外秘」を設定し、外部共有をブロック。 | - 例1: 営業担当者別に自分の売上データだけを閲覧可能に設定。 | |
| - 例2: プロジェクト進捗レポートに「機密」ラベルを設定し、透かしを追加。 | - 例2: 部門別の売上データに基づき、他の部門のデータを閲覧不可にする。 | |
| - 例3: 顧客リストのエクセルファイルに「プライベート」ラベルを設定し、漏洩防止を図る。 | - 例3: 地域別データを管理し、各地域担当者が自分のエリアの情報だけを閲覧可能にする。 |
解説: 違いと使い分け
- 秘密度ラベルは、レポートやファイルの全体に適用され、データの漏洩や不適切な共有を防ぐことを目的としています。特に、機密データの外部共有制限が必要な場合に適しています。
- セキュリティレベル (RLS) は、特定の行データのアクセス権を制御するためのもので、内部ユーザー間でのデータアクセス制限が必要な場合に適しています。
おすすめの設定例
-
秘密度ラベルとセキュリティレベルを併用:
- 重要なプロジェクトレポートの場合、「機密」ラベルを設定して漏洩防止を図りつつ、RLS を利用して関係者以外に特定データが表示されないように制御。
-
秘密度ラベルのみ適用:
- 全体的な外部共有の制限やデータ漏洩リスクを防ぎたい場合に利用。
-
セキュリティレベルのみ適用:
- 同じ組織内で特定の部門・地域・担当者ごとにデータを閲覧制限したい場合に利用。
秘密度ラベルとセキュリティレベルを適切に使い分けることで、セキュリティと利便性のバランスを保った運用が可能になります。