5分で学ぶ:
データ×AIで変わるKPIの深掘り分析
AIでKPI管理を効率化!データ分析でボトルネックを特定し、業務改善とチームパフォーマンス向上を実現する方法をご紹介。
過去の連載記事
・Tableau 管理 虎の巻 ライセンス管理 入門編
・Tableau 管理 虎の巻 ライセンス管理 実践編
「Tableau」のセキュリティ対策、どうしていますか
データ分析の重要性がより増している昨今、誰でも使えるBI(ビジネス・インテリジェンス)ツール「Tableau」をご利用の人も多いと思います。「Tableau」ではローカルのファイルからクラウドまで、非常に多くの種類のデータに接続し分析できますが、機密情報などを扱う場合はセキュリティが気になります。
「Tableau」のセキュリティ機能は、主に5つ(「Tableau Cloud」のヘルプなどを参考に区分け)。それぞれに対応する機能を提供しています。
1. オペレーショナル セキュリティ(「Tableau Cloud」のみ)
2. ユーザー セキュリティ
3. アプリケーション セキュリティ
4. ネットワーク セキュリティ
5. データ セキュリティ
お客様は自社のセキュリティポリシーに基づき、これらのカテゴリの機能を必要に応じて選んで活用できます。その中でも、ユーザーセキュリティ(コンテンツ管理)は、どのような場合も検討すべき重要な要素であり、その理解は欠かせません。
今回の「Tableau管理 虎の巻」では、「Tableau」が提供する多様なセキュリティ機能を紹介しつつ、特にコンテンツ管理に焦点を当てて解説します。
第4回の記事の最後には、お客様から頻繁にいただくセキュリティ関連の質問をまとめています。「Tableau」を運用する際の参考情報としてぜひご活用ください。
「Tableau」 のセキュリティの全体像
「Tableau はデータ分析に幅広く活用できますが、最も一般的な利用方法として 「Tableau Desktop/Prep」でデータを整形・作成したビューを 「Tableau Server/Cloud」 にパブリッシュして共有することが挙げられます。
.png?w=1015)
この時の各「Tableau」 製品とデータの保存元(各種データベース)の役割を整理すると、下記になります。
| ソフトウェア | 役割 |
|---|---|
| Tableau Desktop / Tableau Prep | Tableau 製品を用いたデータ分析において、クライアントサイドの役割を担う。Tableau Prep ではデータ整形、Tableau Desktop ではビューの作成ができる。また、データ整形のフローやビューを Tableau Server/Cloud に保存・公開(パブリッシュ)することができる。 |
| Tableau Server / Tableau Cloud | Tableau 製品を用いたデータ分析において、サーバーサイドの役割を担う。パブリッシュされたビューの共有に特化し、ビュー閲覧を始めとする多くのクライアントからアクセスを処理する。また、ユーザーの権限に応じたコンテンツやデータのアクセス制御を行い、元データが格納されたデータベースとの接続も行う。 |
| データベース | ビューの元データを保持し、Tableau 製品でのデータ処理時に接続要求を受け、必要なデータのやり取りを行う。 |
このように、「Tableau」はネットワークを通じて多様なクライアントとデータやビューのやり取りを行います。その中で通信の安全性を確保しクライアントごとのアクセス制御を行うために上述の5つのセキュリティカテゴリがあり、それぞれに対応する機能を提供しています。
| カテゴリ | Tableau Server | Tableau Cloud | 概念や機能 |
|---|---|---|---|
| オペレーショナル セキュリティ | ー | ◯ | Tableau Cloud に特有の概念で、以下のようなインフラ仕様が定められている。 ・SAS-70 準拠のデータ センターにホストされている ・メーカーは、システムの使用状況やアカウントの状態、パフォーマンス関連のメトリクスを監視・アクセスできるが、データ自体へのアクセスは不可 ・顧客データ保護のため、さまざまな制御や予防措置が提供されている 参考:クラウドでのセキュリティ -オペレーショナル セキュリティ- |
| ユーザーセキュリティ | ◯ | ◯ | Tableau Server/Cloud 上でユーザーがアクセスできるサイトやビューなどの制御を担う概念。 具体的な機能としては認証・認可、サイトロール、パーミッションなどが含まれ、どの Tableau 製品をどのような構成で利用する場合でも、コンテンツ管理において最も重要な機能群といえる。サイトロール、パーミッションなどについての詳細は後述。 |
| アプリケーション セキュリティ | ◯ | ◯ | Tableau Cloud では以下のようなアプリケーション仕様が定められている。 ・Tableau Cloud はマルチテナント設定でホストされている ・ユーザー、データ、メタデータは顧客ごとに分離されている 参考:クラウドでのセキュリティ -アプリケーション セキュリティ- Tableau Serverではニーズに合わせて、サーバー管理者がサイトを追加するか、プロジェクトのパーミッションを利用して管理を行う。 参考:サイトの概要 |
| ネットワークセキュリティ | ◯ | ◯ | Tableau Server/Cloudとクライアント・各種データベースとの通信における暗号化や通信プロトコルに関する仕様を規定する。インターネットを介して安全にデータをやり取りするための機能群を含む。 なお、Tableau Cloud のインフラは Salesforce が管理・メンテナンスを行うのに対し、Tableau Server はお客様自身がインフラ管理を行うため、ネットワーク構成や通信の暗号化設定は要件に応じて導入を検討いただくこととなる。 |
| データセキュリティ | ◯ | ◯ | データへのアクセス制御を担う機能群。 データベース接続時の認証方式や行レベルセキュリティなどがカテゴライズされる。 |
*「Tableau Server」はインフラをお客様側で管理するのに対し、「Tableau Cloud」は セールスフォースのクラウド(Hyperforce)に構築されているため、提供されるセキュリティ機能に違いがあります。同じ項目でも仕様が異なる場合もあるのでご注意ください。
各セキュリティのカテゴリに関しては、「Tableau Server/Cloud」それぞれのドキュメントがあります。下記をご一読ください。特にネットワークセキュリティやデータセキュリティは多様な機能が提供されている一方、お客様の要件に応じて導入の要否が変わるため、ドキュメントの参照をおすすめします。
参考
・Tableau Server on Windowsヘルプ – セキュリティ
・Tableau Cloudヘルプ – クラウドでのセキュリティ
ここまでで、「Tableau」における5つのセキュリティの枠組みを紹介しました。その中でも、ユーザーセキュリティは全てのお客様にとって理解すべき重要な機能です。「Tableau 」は設定された権限によっては全データにアクセスできるため、ユーザーセキュリティの理解と実践が不本意なデータ流出を防ぐカギとなります。
次の項ではユーザーセキュリティの基本と、具体的な機能やポイントを解説します。
なぜTableauは顧客から愛されているのか?
様々な方法でTableauの活用推進を支え合っているコミュニティ「DataFam」について解説いたします。ぜひTableau Communityに参加して、熱量を体感してください。
コンテンツ管理の理解と実践(コンテンツ管理の全体像)
「Tableau」のコンテンツ管理にはいくつかポイントとなる仕組みが存在します。それらの関係性は以下のようになっています。
.png?w=1018)
それぞれについて、利用時のポイントを交えて説明します。
・ユーザー
「Tableau Server/Cloud」にログインしてさまざまな操作を行うためのアカウントを指します。コンテンツの作成や変更、アクセスなど、「Tableau Server/Cloud」 を利用する起点となります。
アカウント作成には、Creator、Explorer、Viewer のいずれかのライセンスを基にした、細かな権限(サイトロール)を割り当てます。なお、ユーザーのアクセス範囲はサイト単位で管理されます。ライセンスの詳細は、過去の連載記事もあわせてご参照ください。
参考記事:Tableau 管理 虎の巻 ライセンス管理 入門編 -2. 3種類のライセンス-
ユーザーの確認や設定変更はサーバー管理者やサイト管理者のサイトロールで 「Tableau Server/Cloud」にログインし、左ペインの[ユーザー] から可能です。後編で紹介する「コンテンツ管理の実践」もご参考ください。
サイトが複数ある場合、「Tableau Server」であればサーバー管理者 のサイトロールでログインし、画面左上のドロップダウンリストより [すべてのサイトの管理] を選択した後、左ペインの [ユーザー] からも確認できます。
「Tableau Cloud」であれば、同位置にあるドロップダウンリストより「Tableau Cloud Manager」へログインし、ユーザーの一覧を確認できます。
・グループ
ユーザーを複数登録・整理できる機能です。「Tableau Server/Cloud」にはユーザー側で権限を設定するサイトロールという機能に対して、コンテンツ側で操作内容を指定できるパーミッションという機能があり、ユーザー単位だけでなくグループ単位でも設定ができます。
ユーザー単位でパーミッションを設定すると管理が複雑化しがちですが、グループでまとめることで簡素化できます。グループは権限(パーミッション)管理を効率化できる機能ともいえ、グループを利用することがコンテンツ管理の1つのポイントとなります。なお、後述するパーミッションルールの利用もコンテンツ管理をするうえでもう1つのポイントです。
グループの確認や設定変更はサーバー管理者やサイト管理者のサイトロールで「Tableau Server/Cloud」にログインし、左ペインの[グループ] から可能です。左ペインの[グループ] から可能です。第4回の記事「コンテンツ管理の実践」でも言及しますのでそちらもご参考ください。
参考
・Tableau Server on Windows ヘルプ – グループの操作
・Tableau Cloud ヘルプ – ユーザーとグループの管理
・サイト
同じ「Tableau Server/Cloud」の環境を切り分けて、ユーザーやビューなどのコンテンツを分離・管理するための単位です。
例えば、営業部と経理部の2つの部署が「Tableau Server/Cloud」を利用する場合、それぞれのメンバーがアクセスできる環境を分け、コンテンツも個別に管理したいとします。このような場面では、サイトを複数作成することでユーザーのアクセス範囲やコンテンツの配置をサイト単位で管理できます。
サイトは「Tableau Server/Cloud」左ペイン上部から選択できます。サイトが1つしかない場合は、選択画面は表示されません。
参考
・Tableau Server on Windows ヘルプ – サイトの概要
・Tableau Cloud ヘルプ – サイトの管理
・サイトロール
ユーザーがサイトごとにもつ権限のことを指します。サイトロールはユーザー作成時に割り当て、種類は「Tableau Server」で8種類、「Tableau Cloud」で6種類あります。Creator、Explorer、Viewer のいずれかのライセンスを基にしており、これらの権限をさらに細かく分け、階層化したものです。
各サイトロールは「Tableau」上のコンテンツに対して実行できる操作が事前に定められております。そのため、ユーザーの操作範囲はサイトロールで定められた範囲を超えられず、いわばサイトロールがサイト内で持てる最大のアクセスレベルとなります。各サイトロールの詳細は後述のメーカードキュメントもご参照ください。
なお、ユーザーは複数のサイトに所属可能で、その名の通り、サイトごとに異なるサイトロールを付与することができます。
「Tableau Server / Tableau Cloud」で用意されているサイトロール
– Creator ライセンスを使用するサイト ロール
サーバー管理者(Tableau Server のみ)
サイト管理者 Creator
Creator
– Explorer ライセンスを使用するサイト ロール
サーバー管理者(Tableau Server のみ)
サイト管理者 Explorer
Explorer (パブリッシュ可能)
Explorer
– Viewer ライセンスを使用するサイト ロール
Viewer
*「Tableau Cloud」はセールスフォースが管理するクラウド(Hyperforce)上に構築され 「セールスフォースが顧客にサイトを提供する」という仕組みになっているため、「サーバー管理者」という概念は存在しません。その代わり、「Tableau Cloud Manager(TCM)」というライセンス不要なアカウントが与えられ、そちらでサイトの作成、ユーザー管理、ライセンスの割り当てなどの操作ができます。
各サイトロールの概要を知りたい場合は、下記のドキュメントをご参照ください。
参考
・Tableau Server on Windows ヘルプ – ユーザーのサイト ロールの設定/Tableau サイト ロール
・Tableau Cloud ヘルプ – ユーザーのサイト ロールの設定/Tableau サイトロール
より詳細に許可・拒否されている操作を確認したい場合は、下記のドキュメントをご参照ください。
参考:パーミッション、サイト ロール、ライセンス/サイト ロールで許可される最大の機能
サイトロールの確認はサーバー管理者やサイト管理者のサイトロールで「Tableau Server/Cloud」にログインし、左ペインの[ユーザー] > [サイトロール]列 から可能です。
*サイトロールの変更は [アクション] 列の […(三点リーダー)] から可能です。
サイトが複数ある場合、「Tableau Server」であればサーバー管理者のサイトロールでログインし、画面左上のドロップダウンリストより [すべてのサイトの管理] を選択した後、左ペインの [ユーザー] から確認できます。
この時、ユーザー一覧に表示されているサイトロールは、所属している全てのサイトにおける最高権限のサイトロール(最大サイトロール)のみとなります。各サイトのロールの確認や設定変更をしたい場合は、任意のユーザーの [アクション] 列の […(三点リーダー)] > [サイトメンバーシップ] を選択して表示されるポップアップをご利用ください。
「Tableau Cloud」であれば、同位置にあるドロップダウンリストより 「Tableau Cloud Manager」へログインし、ユーザーの一覧へアクセスしサイトメンバーシップのポップアップをご利用いただけます。
・パーミッション
「Tableau」のコンテンツ(プロジェクト、データソース、ワークブック、ビュー、フロー)に対して、各ユーザーやグループが実行可能な閲覧、保存、編集、削除などの操作権限を管理する機能です。サイトロールがユーザーに付与される権限であるのに対し、パーミッションはコンテンツ側から実行できる操作を設定する仕組みといえます。
パーミッションはユーザー単位や個別のビュー単位で細かく設定することもできますが、そうすると設定が複雑になり管理が煩雑化する可能性があります。そのため、設定をまとめてパッケージのようにできる「パーミッションルール」の利用が推奨されています。
これはグループ単位や複数のユーザーに一括で同じ設定を付与できる特長があります。パーミッションルールをプロジェクト単位で作成し、任意のグループやユーザーへまとめて権限設定をすることがコンテンツ管理のポイントの1つです。
参考:パーミッション、サイト ロール、ライセンス
なお、最終的にユーザーが実行できる操作は、サイトロールとパーミッション(パーミッションルール)の組み合わせによって決定されます。例えば、Creator 系は他のサイトロールより多くの操作が可能ですが、パーミッションでコンテンツAへの閲覧や編集を制限すると、Aに対してはパーミッションで許可している操作しかできなくなります。
また、サイトロールで制限されている操作は、パーミッションで上書きはできません。例えば、Explorerや Viewer のサイトロールはパブリッシュの権限がないため、パーミッションでパブリッシュを許可しても、その操作は実行できません。
このような仕様から、各ユーザーの最大のアクセスレベルをサイトロールで決めたうえで、必要に応じてパーミッションを設定するのが自然な流れとなります。
参考
・Tableau Server on Windows ヘルプ – 有効なパーミッション
・Tableau Cloud ヘルプ – 有効なパーミッション
パーミッションやパーミッションルールは、各プロジェクトの「パーミッションダイアログ」で確認・設定できます。パーミッションダイアログへは各プロジェクトの […(三点リーダー)] > [パーミッション] からアクセスできます。
ダイアログの上部では「パーミッションルール」を確認でき、各行がグループまたはユーザーの設定を示します。設定は操作内容に対して 許可、拒否、未指定 から選択します。また、ダイアログの下部にある「パーミッショングリッド」では、選択したグループに含まれるユーザーのパーミッションが表示されます。
設定方法は下記ドキュメントをご参照ください。
参考:Tableau Server on Windows ヘルプ – パーミッション/パーミッションの設定
パーミッションに関する概要を記載した資料は下記を参照ください。
参考
・Tableau Server on Windows ヘルプ – パーミッション
・Tableau Cloud ヘルプ – パーミッション
・プロジェクト
コンテンツを整理するための階層化可能なフォルダであり、パーミッションルールを設定できます。
パーミッションルールは個別のビューなどのコンテンツ単位でも制御可能ですが、同じ設定にしたいコンテンツをプロジェクトにまとめ、プロジェクト単位でパーミッションルールを設定することで管理の煩雑さを軽減できます。
参考
・Tableau Server on Windows ヘルプ – プロジェクトを使用したコンテンツへのアクセスの管理
・Tableau Cloud ヘルプ – プロジェクトを使用したパーミッションの管理
以上を踏まえて、「Tableau」のコンテンツ管理を理解するうえでのポイントをまとめます。
・ユーザーの作成とサイトロールの設定
Tableau Server/Cloud を利用するには、ユーザーを作成し、サイトロールを割り当てる。サイトロールは、各サイト内でユーザーが持てる最大のアクセス権限を決定する。
・コンテンツとプロジェクトの関係
コンテンツはプロジェクトに配置する。プロジェクトは階層化が可能。
・パーミッションによる操作制限
パーミッションを設定することで、コンテンツごとにユーザーの操作範囲を制限できる。ただし、ユーザーはサイトロールで決められた権限以上の操作はできない。
・効率的なコンテンツ管理のポイント
1. ユーザー単位ではなく、グループ単位でパーミッションを管理する。
2. コンテンツ単位ではなく、プロジェクト単位でパーミッションを管理する。
次回は、実際のコンテンツ管理の方法や「Tableau」におけるセキュリティ関連の Tips を紹介します。
Tableau の無料トライアルを始めましょう
無制限のデータ探索と発見が今、始まります。
