Qlik Sense Enterprise on Windows のセキュリティ

Qlik Sense Enterprise on Windows のセキュリティは、以下で構成されています。

  • プラットフォームの保護

    Qlik Sense プラットフォーム自体の保護、通信および操作方法。

  • 認証

    ユーザーの ID とその認証方法。Qlik Sense は、標準認証プロトコル (Integrated Windows Authentication など)、HTTP ヘッダー、 チケットを使用して、データへのアクセスを要求するすべてのユーザーの認証を実施します。

  • 承認

    ユーザーがアクセスできる対象。 認証とは、リソースへのユーザー アクセスを許可または拒否する手順のことです。

  • 監査

    Qlik Sense プラットフォームは、リポジトリ データベースの変更を追跡し、包括的な監査とセキュリティのログを提供し、アプリケーションを監視します。

  • 機密性

    Qlik Sense は、次の方法で機密性を保護します。

    • Transport Layer Security (TLS) でネットワーク接続を暗号化
    • オペレーティング システムのファイル システムとサーバー アクセス制御を利用することで、Qlik Sense ノード上のコンテンツを保護
    • オペレーティング システム コントロールを使ってメモリを保護
    • リソース レベルでアプリケーション アクセスを保護
    • 機密情報 (パスワードやデータ接続の文字列など) を暗号化
    • データ削減を使ってアプリ データを保護
  • 整合性

    ファイル システムのようなオペレーティング システム コントロールを利用することで、保存データを保護し、機密情報を暗号化し、ソース システムへのデータのライトバックを防止して、整合性を維持します。

  • 可用性

    マルチノード環境に展開された Qlik Sense は、回復性と信頼性を実現するように設計されています。

プラットフォームの保護

Qlik Sense のセキュリティは、Qlik Sense ソフトウェアだけでなく、展開先環境のセキュリティにも依存します。Qlik Sense 展開のセキュリティを最大限に発揮させるには、以下の点を考慮する必要があります。

  • ネットワーク セキュリティ
  • サーバー セキュリティ
  • プロセス セキュリティ
  • アプリ セキュリティ

Qlik Sense サービスと Web クライアント間のすべての通信には、Transport Layer Security (TLS) を利用する Web プロトコルが使われます。TLS はデジタル証明書を使って、サービス、サーバー、クライアント間でやり取りされる情報を暗号化します。暗号化された情報は、接続を保護するための 2 つの証明書が要求されるトンネルを通過します。サーバー証明書は正しいサーバーを識別し、クライアント証明書は、識別されたサーバーとの通信をクライアントに許可します。

オペレーティング システムのセキュリティ システム コントロールは、証明書、ストレージ、メモリ、CPU リソースにアクセスします。Qlik Sense はこれらのコントロールを使うことで、必要なリソースへのアクセスを承認済みのユーザーとプロセスだけに許可して、プラットフォームを保護します。

Qlik Sense は開発中に厳しいテスト プロセスを経ることで、セキュリティ リスクを軽減し、予期しないイベントに対処します。さらにテストを実施して、Qlik Sense が当該ソフトウェアに対する既知のセキュリティの脅威から防御できることを検証します。

属性ベースのアクセス制御は、プラットフォーム内のユーザー機能を管理する包括的なフレームワークを提供します。セクション アクセスを介した行と列レベルのデータ削減は、ユーザーがアプリケーション内で表示、選択するデータを動的に管理します。

認証

Qlik Sense 展開内のすべての認証は、ハブまたは Qlik Management Console (QMC) に接続するクライアントを含めて、Qlik Sense Proxy Service (QPS) によって管理されます。Qlik Sense が個々のユーザーの ID を検証するには、外部 ID プロバイダーが必要です。検証時、Qlik Sense はユーザーをハブまたは QMC に転送し、TLS、証明書、さまざまな手法を使ってトラフィックを暗号化します。そのような手法には、アプリや Web サイトへのアクセスに必要なユーザーのログオン回数を最小限にする single sign-on (SSO) ソリューションのサポートが含まれます。QPS は複数のプロキシの使用をサポートし、Transport Layer Security (TLS) によって保護されているネットワークに関する認証方法を複数使用できます。

Qlik Sense 展開内の各 Qlik Sense Proxy Service は仮想プロキシを使って認証に対応します。仮想プロキシにより、1 つのプロキシで複数の認証方式をサポートし、マルチノード展開でのセッション管理と負荷分散を実施できます。仮想プロキシは 1 つまたは多くの Qlik Sense Proxy Service ノードにリンクして、トラフィックを誘導したり、エンジン間の負荷分散を行ったり、特定のアクセスを展開環境の管理レイヤーに向けたりすることができます。

承認

ユーザーが承認されて Qlik Sense へのアクセス権が付与された後、attribute based access control (ABAC) モデルを介した承認によってアプリケーション内の表示機能とセルフサービス機能が実行されます。Qlik Sense で、ABAC はアクセス制御方法として定義され、リソースに対するアクション実行へのユーザー要求は、ユーザーに割り当てられた属性、リソースに割り当てられた属性、環境の条件、これらの属性と条件を踏まえて指定された一連のセキュリティ ルールを基に許可されます。Active DirectoryLDAP、データベースの属性は Qlik Sense にロードされます。また、属性は Qlik Sense 内で直接定義し、管理することもできます。

Qlik Sense は以下の方法で承認をサポートしています。

  • セキュリティ ルール
  • セクション アクセス
  • 動的データ削減

監査

ガバナンスは、企業のビジネス インテリジェンスにおいて重要な役割を担います。Qlik Sense は、QMC、アプリケーション、ログ ファイルを使って監査、監視、ログを実施して、管理者に情報を提供し、展開環境内のリスクを軽減します。

Qlik Sense は以下の方法で監査をサポートしています。

  • リポジトリ データベースは、データベースの直近の変更時点と、変更を行った人物についての情報を保存します。
  • ログ フレームワークは、監査ログおよびセキュリティ ログを提供します。
  • ログが一元的に保存されています。
  • ログ形式は、Qlik Sense クライアントからの挿入に抵抗します。
  • ライセンス ログは署名されていて、ログの改ざんから保護されます。

機密性

Qlik Sense は、TLS でネットワーク接続を暗号化し、Qlik Sense ノード上のコンテンツを保護するためにオペレーティング システムのファイル システムとサーバー アクセス制御を利用し、オペレーティング システム コントロールを使用してメモリを保護し、アプリケーション アクセスをリソース レベルで保護し、機密情報 (パスワードやデータ接続の文字列など) を暗号化し、データ削減を使用してアプリ データを保護することで、機密性を守ります。

Qlik Sense は以下の方法で機密性をサポートしています。

  • ネットワークは暗号化のために Transport Layer Security (TLS)、認証用証明書を使用しています。
  • Qlik Sense コンテンツを含むファイル共有およびリポジトリ データベースに保管されている情報は、サーバーのアクセス制御およびファイル システム制御を使用するオペレーティング システムによって保護されています。
  • Qlik Sense のプロセス メモリおよびロードされたデータは、物理サーバーおよびオペレーティング システム コントロールによって保護されています。
  • アプリは、リソース段階でのアクセス制御を使用して、安全を確保しています。
  • 外部データ ソースへのアクセスに使用する機密情報 (例としてはパスワードや接続文字列) は、暗号化して保存されます。

  • アプリのデータは、データ削減を使用して保護されています。

整合性

Qlik Sense は、ファイル システムのようなオペレーティング システム コントロールによって、保存データを保護し、機密情報を暗号化し、ソース システムへのデータのライトバックを防止することで整合性を維持します。

Qlik Sense は以下の方法で整合性をサポートしています。

  • 保管データは、オペレーティング システムの制御 (ファイル システムなど) により保護されています。
  • 外部データ ソースへのアクセスに使用する機密情報 (例としてはパスワードや接続文字列) は、暗号化して保存されます。

  • Qlik Sense は、ソース システムへのライトバックはサポートしていません (Qlik Sense クライアントはデータ ソースを編集できません)。

可用性

Qlik Senseは以下の方法で可用性をサポートしています。

  • マルチノード サイトのノードは回復機能を備えるよう設定されています。各ノードはセントラル ノードに接続され、ロールを満たすために必要なデータにアクセスします。
  • Qlik Sense プロトコルは、フォールト トレランス設計になっています。