保存中の抽出の暗号化

保存中の抽出の暗号化は、.hyper 抽出を Tableau Server に保存しながら暗号化できるデータ セキュリティ機能です。

Tableau Server 管理者は、サイト上のすべての抽出の暗号化を実施する、または、特定のパブリッシュ済みワークブックやデータ ソースに関連付けられたすべての抽出の暗号化をユーザーが指定するのを許可できます。

制限事項

暗号化を行うには、古い .tde ファイル抽出を .hyper ファイル抽出にアップグレードする必要があります。これは暗号化ジョブの一環として自動的に行われます。抽出アップグレードによる影響の詳細は、.hyper 形式への抽出のアップグレードを参照してください。

一時ファイルとキャッシュ ファイルは、この機能では保存中に暗号化されません。

ワークブック (.twb) およびデータ ソース ファイル (.tds) は、この機能では暗号化されません。これらのファイルには、データベース表の列名や書式設定手順などのメタデータが含まれます。場合によっては、フィルターに含まれている場合には、これらのファイルに一部の行レベルのデータが含まれていることがあります。 

Excel ファイルや JSON ファイルなど他のデータ ファイルは、パブリッシュ前に抽出に変換されない限り、この機能では暗号化されません。

抽出はサーバーからダウンロードされるときに復号化されます。

パフォーマンスの概要

バックグラウンダー負荷の増加

保存中の暗号化をオンにすると、バックグラウンダー負荷が若干ないし中程度に増加することがあります。暗号化と復号化は計算集約型動作です。保存中の暗号化により既存のバックグラウンダー ジョブが変更され、バックグラウンダーでの新しいジョブの実行が導入されます。バックグラウンダー負荷の全体的な増加は、影響を受ける抽出の数とサイズ、および以下のシナリオが適用される頻度によって変わります。

  • 初回パブリッシュ: 暗号化の必要がある抽出を使用してワークブックやデータ ソースをパブリッシュする場合、暗号化はサーバーのバックグラウンダーで行われます。
  • Tableau Server による抽出更新: Tableau Server での暗号化抽出の完全更新と増分更新は若干多くの CPU を使用します。
  • Tableau Bridge およびサードパーティー アプリケーション (Informatica、Alteryx など) による抽出更新: これらのフローでは、更新された抽出のバックグラウンダーでスケジュールされた新しい暗号化ジョブが必要で、バックグラウンダー負荷が若干ないし中程度に増加します。
  • 既にパブリッシュされたワークブックやデータ ソースでの抽出の暗号化と復号化: 保存中の暗号化のサイト設定が [Enable (有効)] に設定されている場合、ユーザーは Tableau Server で、既にパブリッシュされているワークブックやデータ ソースに含まれる抽出の暗号化または復号化を選択することができます。抽出の数とサイズによっては、バックグラウンダーにかかる負荷が若干ないし中程度に増加します。
  • サイトの暗号化モードの変更: 保存中の暗号化に関するサイト設定を [Disable (無効)] または [Enforce (実行)] に切り替えると、バックグラウンダーはサイト上のすべての既存の各抽出を切り替えに応じて復号化または暗号化します。抽出の数とサイズによっては、すべての抽出が復号化または暗号化されるまで、バックグラウンダーに対する負荷が大幅に増加する可能性があります。
  • 暗号化キーの回転: 暗号化キーを回転すると、新しい暗号化キーを使用し、そのサイトでパブリッシュされたすべての既存の抽出がバックグラウンダーで再暗号化されます。抽出の数とサイズによっては、すべての抽出が再暗号化されるまで、バックグラウンダーに対する負荷が大幅に増加する可能性があります。

容量の上限かそれを超えて実行している場合は、次の点を考慮してください。

  • 追加バックグラウンダー プロセスとリソースを追加する。
  • ユーザーがサイト全体を暗号化する代わりに個別のワークブックとデータ ソースを暗号化すること、またはそれが必要でないサイトで保存中の暗号化を無効にすることを許可する。スケジュールされた抽出更新およびアドホック抽出更新が暗号化ジョブや復号化ジョブより優先されることに注意してください。

Viz の読み込み時間とワーカー負荷の増加

たとえば、クエリ パフォーマンスが Viz やダッシュボードを読み込むか操作するとき、ディスクからメモリに読み込まれる場合にデータを一度復号化する必要があります。このため、ユーザーが初めてワークブックを読み込む際に、Viz の読み込み時間とワーカー ノードでの CPU 消費が若干増加します。データは既にメモリ内で復号化されているため、これにより、同時にそれらのワークブックにアクセスする他のユーザーに影響が及ぶことはありません。

バックアップと復元への影響

バックアップに含まれる暗号化された抽出は暗号化されたままです。バックアップ ファイル (.tbks) のサイズは、暗号化された抽出の圧縮が効果的でないため最大 50 ~ 100% 増加する可能性があります。このサイズの増加は、他の要素のうち、暗号化されている抽出の数によって決まります。暗号化された抽出を含むバックアップを復元する時間は、暗号化キーを交換する時間が原因で若干長くなる可能性があります。

Tableau Server インストールに含まれる抽出がほとんどまたはすべて暗号化されている場合、バックアップ中に圧縮を無効にし、バックアップの所要時間を大幅に改善させることを検討してください。TSM バックアップの詳細については、tsm maintenance backupを参照してください。

サイトでの保存中の暗号化の実施

Tableau Server 管理者は、サイト上のすべての抽出の暗号化を実施することができます。

  1. Web ブラウザーで Tableau Server にサーバー管理者としてサインインします。
  2. 構成するサイトに移動します。
  3. [設定] をクリックします。
  4. [保存時の抽出の暗号化] セクションまで下にスクロールします。
    [Enforce (実行)] をクリックし、サイト上でパブリッシュおよび保存されているすべての抽出を暗号化します。
    サイトに保存されている既存の抽出をすべて暗号化するには、しばらく時間がかかる場合があります。
  5. [保存] をクリックします。

サイトでの保存中の暗号化の有効化

Tableau Server 管理者は、特定のパブリッシュ済みワークブックやデータ ソースに関連付けられたすべての抽出の暗号化をユーザーが指定するのを許可できます。

  1. Web ブラウザーで Tableau Server にサーバー管理者としてサインインします。
  2. 構成するサイトに移動します。
  3. [設定] をクリックします。
  4. [保存時の抽出の暗号化] セクションまで下にスクロールします。
  5. [Enable (有効)] をクリックすると、ユーザーにオプションでサイト上の抽出の暗号化を許可できます。
    [Enable (有効)] に変更すると、保留中の復号化ジョブと暗号化ジョブがキャンセルされます。暗号化ジョブは作成されません。
  6. [保存] をクリックします。

サイトでの保存中の暗号化の無効化

  1. Web ブラウザーで Tableau Server にサーバー管理者としてサインインします。
  2. 構成するサイトに移動します。
  3. [設定] をクリックします。
  4. [保存時の抽出の暗号化] セクションまで下にスクロールします。
  5. [Disable (無効)] をクリックすると、サイト上の抽出の暗号化を許可しません。
    [Disable (無効)] に変更すると、既存の暗号化された抽出がすべて復号化されます。サイトに保存されている抽出をすべて復号化するには、しばらく時間がかかる場合があります。
  6. [保存] をクリックします。

すべてのサイトの抽出暗号化モードの表示

  1. 複数サイト サーバーのサイト メニューで [すべてのサイトを管理] をクリックします。

    注: [すべてのサイトを管理] オプションは、サーバー管理者としてサインインした場合にのみ表示されます。

  2. [サイト] をクリックします。
  3. 各サイトの暗号化モードは、[保存時の抽出の暗号化] 列に表示されます。

パブリッシュ済みワークブックまたはデータ ソースでの抽出の暗号化または復号化

: 特定のパブリッシュ済みワークブックまたはデータ ソースに関連付けられた抽出を暗号化または復号化するオプションは、保存中の暗号化に関するサイト設定が [Enable (有効)] に設定されている場合にのみ使用できます。サイトが [Disable (無効)] に設定されている場合、すべてのコンテンツは暗号化されません。サイトが [Enforce (実行)] に設定されている場合、すべてのコンテンツが暗号化されます。
注: 所有者または管理者である必要があります。

  1. パブリッシュ済みワークブックまたはパブリッシュ済みデータ ソース ページに移動します。
  2. [暗号化された抽出] または [復号化された抽出] と記載されたドロップダウン メニューをクリックします。
  3. [復号化済み] を選択します。
    「抽出を復号化しています」というメッセージが表示されます。
    - または -
    [暗号化済み] を選択します。
    暗号化ジョブが開始されます。

または、カード ビュー アクション メニュー、リスト ビュー アクション メニュー、およびヘッダー セクションのアクション メニューの抽出を暗号化または復号化することもできます。

複数アイテムの暗号化または復号化

  1. [データ ソース] ページに移動します。
  2. 1 つ以上のデータ ソースの隣にあるチェック ボックスを選択します。
  3. [データ ソース] ページの左上で [アクション] をクリックします。
  4. [Encrypt (暗号化)] または [Decrypt (復号化)] をクリックします。

単一項目の暗号化ステータスの表示

  1. サイトにサインインします。
  2. 単一のデータ ソース ページに移動します。
    - または -
    埋め込みデータ ソースを含むワークブックの単一のワークブック ページに移動します。
  3. 暗号化ステータスがページに表示されます。

暗号化ステータスによるデータ ソースのフィルター

  1. サイトで、[検索] をクリックします。
  2. 右上隅で [検索: 最上位のプロジェクト] ドロップダウン メニューをクリックし、[すべてのデータ ソース] を選択します。
  3. フィルター アイコンをクリックします。
  4. [ライブまたは抽出] セクションまで下にスクロールし、フィルター オプション ([すべて]、[ライブ]、[抽出]、[復号化された抽出]、[暗号化された抽出]、[現在暗号化中]、または [現在復号化中]) を選択します。
  5. フィルター結果に ".tde ファイルへのライブ" 接続と ".hyper ファイルへのライブ" 接続を含める場合は、「.tde および .hyper ファイルを含める」の隣のチェックボックスをオンにします。

暗号化ステータスによるワークブックのフィルター

  1. サイトで、[検索] をクリックします。
  2. 右上隅で [検索: 最上位のプロジェクト] ドロップダウン メニューをクリックし、[Select All workbooks (すべてのワークブック)] を選択します。
  3. フィルター アイコンをクリックします。
  4. [ライブまたは抽出] セクションまで下にスクロールし、フィルター オプション ([すべて]、[ライブ]、[抽出]、[パブリッシュ済み]、[復号化された抽出]、[暗号化された抽出]、[現在暗号化中]、または [現在復号化中]) を選択します。
  5. フィルター結果に ".tde ファイルへのライブ" 接続と ".hyper ファイルへのライブ" 接続を含める場合は、「.tde および .hyper ファイルを含める」の隣のチェックボックスをオンにします。
    フィルター選択に一致する接続が少なくとも 1 つあるワークブックが表示されます。

抽出の暗号化または復号化のバックグラウンド タスクのステータスの表示

  1. サイトで [サイトのステータス] をクリックします。
  2. [抽出以外のバックグラウンド タスク] をクリックし、完了したバックグラウンド タスクと保留中のバックグラウンド タスクの詳細を表示します。
    注: [抽出以外のバックグラウンド タスク] には抽出更新に関連しないすべてのタスクが含まれているため、暗号化ジョブが含まれます。
  3. [タスク] メニューで [抽出の暗号化] または [抽出の復号化] を選択し、[適用] をクリックします。
  4. [時間範囲] メニューで範囲を選択します。
    抽出に基づくパブリッシュ済みのデータ ソースおよびワークブックすべてにおいて、"抽出の暗号化" と "抽出の復号化" のバックグラウンド タスクが表示されます。

tabcmd ユーティリティ

tabcmd コマンドライン ユーティリティには、抽出の暗号化を制御するためのコマンドとオプションがあります。詳細については、tabcmdのドキュメントを参照してください。

サイト作成時の抽出暗号化モードの指定

tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

サイト編集時の抽出暗号化モードの指定

tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]

サイトのリスト作成時の抽出暗号化モードの取得

tabcmd listsites --get-extract-encryption-mode

サーバーにワークブック、データ ソース、または抽出をパブリッシュするときの抽出の暗号化

tabcmd publish "filename.hyper" –-encrypt-extracts

サイト上のすべての抽出の復号化

注: 抽出の数とサイズによっては、この操作は大量のサーバー リソースを消費する場合があります。このコマンドは、通常の営業時間外に実行することを検討してください。

tabcmd decryptextracts <site-name>

サイト上のすべての抽出の暗号化

注: 抽出の数とサイズによっては、この操作は大量のサーバー リソースを消費する場合があります。このコマンドは、通常の営業時間外に実行することを検討してください。

tabcmd encryptextracts <site-name>

新しい暗号化キーを使用したサイト上のすべての抽出の再暗号化

サイトを指定する必要があります。

注: 抽出の数とサイズによっては、この操作は大量のサーバー リソースを消費する場合があります。このコマンドは、通常の営業時間外に実行することを検討してください。

tabcmd reencryptextracts <site-name>

詳細については、reencryptextractsを参照してください。

Tableau Server Rest API

Tableau Server REST API では、プログラムによって Tableau Server リソースを管理できます。このアクセスを使って、独自のカスタム アプリケーションを作成したり、Tableau Server リソースとの相互作用をスクリプトしたりできます。

詳細については、「抽出の暗号化方法」(新しいウィンドウでリンクが開く)を参照してください。

フィードバックをありがとうございます。フィードバックは正常に送信されました。ありがとうございます!