Tableau の行レベルのセキュリティオプションの概要

データのフィルターリングを、データを必要としているユーザーに基づいて行いたい場合があります。例えば、次のような場合です。

地域の営業担当者に、自分の地域の売上高のみを表示させたい。
営業マネージャーに、自分の部下の営業担当者の統計のみを表示させたい。
生徒に、自分の成績に基づいたビジュアライゼーションのみを表示させたい。

データをこのようにフィルターリングするアプローチは、行レベルのセキュリティ (RLS) と呼ばれます。行レベルのセキュリティを実現する方法は Tableau の内部と外部で複数あり、それぞれに長所と短所があります。

手動でユーザーフィルターを作成し、ユーザーを値にマッピングする

Tableau で行レベルのセキュリティを実現する最も簡単な方法は、ユーザーを手動で値にマッピングするユーザーフィルターを使用することです。たとえば、「Alice」という名前のユーザーを値「東部」に手動でマッピングして、「地域」列が「東部」であるデータソースの行のみが表示されるようにすることができます。

この方法は便利ですが、メンテナンスに手がかかり、セキュリティに注意を払う必要があります。ワークブックごとに行う必要があり、ユーザーベースが変更されるたびにフィルターを更新してデータソースをパブリッシュし直す必要があります。このタイプのユーザーフィルターを使用してアセットをパブリッシュする場合、ユーザーがアセットを保存またはダウンロードしてフィルターを削除し、その結果すべてのデータにアクセスできないようにパーミッションを設定する必要があります。

詳細については、Tableau Desktop および Web オーサリングヘルプの「手動でユーザーフィルターを作成し、ユーザーを値にマッピングする」(新しいウィンドウでリンクが開く)を参照してください。

データのセキュリティフィールドを使用して動的ユーザーフィルターを作成する

この方法を使用して、ユーザーをデータ値へマッピングするプロセスを自動化する計算フィールドを作成します。この方法では、フィルターに使用するセキュリティ情報が参照元データに含まれている必要があります。たとえば、データソースの計算フィールド、USERNAME() 関数、および「マネージャー」列を使用して、ビューを必要としているユーザーがマネージャーであるかどうかを判断し、それに応じてビューのデータを調整します。

フィルターリングはデータレベルで定義され、計算フィールドで自動化されるため、この方法はユーザーを手動でデータ値にマッピングするよりも安全です。このタイプのユーザーフィルターを使用してアセットをパブリッシュする場合、ユーザーがアセットを保存またはダウンロードしてフィルターを削除し、その結果すべてのデータにアクセスできないようにパーミッションを設定する必要があります。

詳細については、Tableau Desktop および Web オーサリングヘルプの「データのセキュリティフィールドを使用して動的フィルターを作成する」(新しいウィンドウでリンクが開く)を参照してください。

データポリシーを使用する

Tableau 2021.4 以降、Tableau Server または Tableau Cloud でデータ管理が有効になっている場合、Creator ライセンスを持つユーザーは、仮想接続のデータポリシーを通じて行レベルのセキュリティを実装できるようになりました。仮想接続は一元化され再利用できるため、その接続を使用するすべてのコンテンツにわたって、各接続の行レベルのセキュリティを 1 か所で安全かつ確実に管理できます。

Tableau の行レベルのセキュリティに関する前述のソリューションとは異なり、この方法では、作成者がワークブックやデータソースのパーミッションを適切に設定しなかったために情報が漏えいするリスクはありません。すべてのクエリに対してサーバー上でポリシーが適用されるためです。

仮想接続のデータポリシーによる行レベルのセキュリティは、行レベルのセキュリティの他のソリューションの欠点に対処するために開発されました。このソリューションを選択できる場合は、ほとんどの状況でこのソリューションを使用することをお勧めします。

仮想接続でデータポリシーを使用する行レベルのセキュリティの詳細については、仮想接続とデータポリシーについてを参照してください。

データベース内の既存の RLS を使用する

多くのデータソースには、RLS のメカニズムが組み込まれています。組織がすでにデータソース内の行レベルのセキュリティの構築に力を入れている場合は、既存の RLS を利用できる場合があります。

組み込み RLS モデルの実装は、Tableau を念頭においた構築に比べて、必ずしも簡単であったり優れたりするとは限りません。これらの手法は、一般に、組織が既にこれらのテクノロジに投資しており、投資を活用する場合に利用されます。

組み込まれている RLS を使用する主な利点は、管理者がデータセキュリティポリシーを 1 か所、つまりデータベースに実装して制御できることです。

ユーザー属性を渡す

JSON Web Token (JWT) に含まれるユーザー属性を渡すと、Tableau Cloud の埋め込みのワークフローでデータへのアクセスをカスタマイズおよび制御することができます。詳細については、埋め込み v3 API(新しいウィンドウでリンクが開く) ヘルプを参照してください。

行レベルのセキュリティオプションの比較

RLS オプション	役に立つ状況	長所	短所
手動ユーザーフィルター	概念実証を行っている、または、ユーザーフィルターリング機能をテストしている変わることのないユーザーグループで使用する静的なワークブックを作成しているパーミッションが正しく設定されていないことによる情報セキュリティのリスクを理解している	小規模でシンプルわかりやすいマッピングテストに適している	メンテナンスに手がかかるユーザーの所属が変わるとフィルターを更新し、パブリッシュし直す必要があるユーザーがフィルターリングされていないデータを見ることができないように、パーミッションを設定する必要があるすべてのワークブックに複製する必要がある
動的ユーザーフィルター	データ管理ライセンスがないフィルターリングに使用できる情報がデータに含まれているパーミッションが正しく設定されていないことによる情報セキュリティのリスクを理解している	セットアップが比較的簡単	ユーザーがフィルターリングされていないデータを見ることができないように、パーミッションを設定する必要があるすべてのワークブックまたはデータソースに複製する必要がある
データポリシー	データ管理ライセンスがあるフィルターリングに使用できる情報がデータに含まれているデータセキュリティの容易さは重要な問題である	一元化安全メンテナンスが容易セキュリティ責任と分析責任を分離できる	データ管理ライセンスが必要
データベース内の RLS	データベース内に組み込まれた RLS がすでにある抽出を使用していない	組織のデータベースにすでに組み込まれている可能性がある Tableau 以外のデータベースクライアントにもポリシーを適用できる	ライブクエリを使用する必要がある制限事項や必須要件がある場合があり、IT チームがそれらを識別できる
ユーザー属性	Tableau 接続済みアプリ(新しいウィンドウでリンクが開く)を使用して、埋め込みコンテンツへのアクセスを認証および承認している	他のポリシーやユーザーのパーソナライゼーションを管理する場所と同じところでデータアクセスポリシーを管理できる	JWT で定義されたユーザー属性、サイト設定が有効(新しいウィンドウでリンクが開く)、ユーザー属性機能(新しいウィンドウでリンクが開く)を使用して作成されたコンテンツであることが必要

一番上に戻る

フィードバックをお送りいただき、ありがとうございます。

フィードバックは正常に送信されました。ありがとうございます!

Tableau Cloud ヘルプ