前置き
以下の記事の続きものです。
データプロダクトのセキュリティとガバナンスは、以下の2つの活動によって担保されます。
脅威モデリングによる「プロアクティブなリスク特定」
アクセス制限による「具体的な防御・制御」
🏦 アナロジー:個別の銀行の貸金庫
わかりやすくするため、今回は、個別の銀行の貸金庫のアナロジーで考えてみましょう。
・各データプロダクトは、独立した銀行の貸金庫室 のようなものです。
・データメッシュでは、中央の警備会社(中央データチーム)がすべてを管理するのではなく、各支店(ドメインチーム) が、自身の貸金庫室のセキュリティに責任を持ちます。
1. 脅威モデリング
これは、攻撃者の視点に立って、「どのようにしてこの貸金庫室を攻撃するか?」を考えることです。
具体的な問い
なりすまし (Spoofing)
偽の顧客や管理者が、貸金庫(データ)にアクセスできてしまわないか?
改ざん (Tampering)
貸金庫の中身(データ)を、気づかれずに書き換えることはできないか?
情報漏洩 (Information Disclosure)
権限のない人物が、貸金庫の中身を覗き見(PIIの漏洩など)できてしまわないか?
プライバシー脅威モデリング
LINDDUNのようなプライバシー脅威モデリングもここに含まれます。
この分析を行うことで、守るべきものと防御すべき攻撃が明確になります。
2. アクセス制限 (Preventive Control)
これは、脅威モデリングで見つかったリスクに対する具体的な防御策です。
ユーザーからのアクセス制限
誰が?
貸金庫の鍵(認証)を持っているか?
何を?
その鍵で、どの貸金庫(どのデータ)を、どこまで(例:PII列はマスク)見ることができるか? (RBAC/ABACによる認可)
監査
「いつ、誰が」貸金庫室に出入りしたかの ログ(監査証跡) を完全に記録します。
メッセージブローカー(他のシステム)とのアクセス制限
これがデータメッシュでは非常に重要です。
貸金庫室(データプロダクト)には、インプット・ポート(データの搬入口) とアウトプット・ポート(データの搬出口) があります。
インプット・ポート
「信頼できる特定の現金輸送車(上流のデータプロダクトやメッセージブローカー) からしか、データを受け入れない」
という厳格なポリシーを適用します。
アウトプット・ポート
「認証された特定の顧客(下流のデータプロダクト) にしかデータを提供しない」
というアクセス制御を実装します。
結論
脅威モデリングが 「構築すべき防御壁の設計図」 だとすれば、
アクセス制限は 「その設計図に基づいて構築された、実際の鍵、扉、警報システム」 です。
データメッシュでは、この一連のセキュリティ設計と実装の責任を、
中央集権的なチームから各データプロダクト(ドメインチーム)に分散・委譲
します。
これにより、データに最も詳しいチームが、そのデータの文脈に即した、最も堅牢なセキュリティを実装できるようになり、それがデータ品質向上につながります。