IRAP コンプライアンス制御

IRAP コンプライアンス コントロールは、ワークスペースの Infosec Registered Assessors Program (IRAP) コンプライアンスに役立つ拡張機能を提供します。

IRAPは、オーストラリア政府に高品質の情報通信技術(ICT)セキュリティ評価サービスを提供しています。 IRAP は、オーストラリア政府のセキュリティ要件に対する組織のセキュリティ管理の実装と有効性を評価するためのフレームワークを提供します。 Databricks は IRAP 認定を受けています。

IRAP コンプライアンスコントロールでは、モニタリングエージェントの追加、ノード間暗号化のインスタンスタイプの適用、強化されたコンピュートイメージの提供、およびその他の機能を提供する コンプライアンスセキュリティプロファイル を有効にする必要があります。 技術的な詳細については、「 コンプライアンス セキュリティ プロファイル」を参照してください。 影響を受ける各ワークスペースでコンプライアンス セキュリティ プロファイルが有効になっていることを確認し、IRAP がコンプライアンス プログラムとして追加されていることを確認するのは、お客様の責任です。

IRAP コンプライアンス制御は、 ap-southeast-2 リージョンでのみ使用できます。

セキュリティを強化するコンピュート リソース

コンプライアンス セキュリティ プロファイルの機能強化は、クラシック コンピュート プレーンのコンピュート リソースと ap-southeast-2 リージョンのサーバレス コンピュート プレーンに適用されます。 「サーバレス コンピュートの可用性に関するコンプライアンス標準」を参照してください。

クラシック プレーンとサーバレス コンピュート プレーンの詳細については、 Databricks アーキテクチャの概要を参照してください。

必要条件

• Databricks アカウントには、強化されたセキュリティとコンプライアンスのアドオンが含まれている必要があります。 詳細については、 価格ページを参照してください。

• Databricks ワークスペースが ap-southeast-2 リージョンにあります。

• Databricks ワークスペースが Enterprise レベルにある。

• シングル サインオン (SSO) 認証がワークスペースに対して構成されている。

• ワークスペースで コンプライアンス セキュリティ プロファイル を有効にし、コンプライアンス セキュリティ プロファイル構成の一部として IRAP コンプライアンス標準を追加します。

• 次の VM インスタンスタイプを使用する必要があります。

  • 一般用途: M-fleet, Md-fleet, M5dn, M5n, M5zn, M7g, M7gd, M6i, M7i, M6id, M6in, M6idn
  • 最適化されたコンピュート: C-fleet, C5a, C5ad, C5n, C6gn, C7g, C7gd, C7gn, C6i, C6id, C7i, C6in
  • メモリ最適化: R-fleet、Rd-fleet、R7g、R7gd、R6i、R7i、R7iz、R6id、R6in、 R6idn
  • 最適化されたストレージ: D3、D3en、P3dn、R5dn、R5n、I4i、 I3en
  • アクセラレーテッドコンピューティング: G4dn、G5、P4d、P4de、 P5

• ワークスペース名、クラスター名、ジョブ名など、顧客定義の入力フィールドに機密情報が入力されないようにします。

IRAP コンプライアンス制御の有効化

IRAP 標準によって規制されているデータの処理をサポートするようにワークスペースを構成するには、ワークスペースで コンプライアンス セキュリティ プロファイル が有効になっている必要があります。コンプライアンス セキュリティ プロファイルを有効にし、IRAP コンプライアンス標準をすべてのワークスペースに追加することも、一部のワークスペースにのみ追加することもできます。「強化されたセキュリティとコンプライアンスの設定を構成する」を参照してください。

important

• ワークスペースのコンプライアンス標準の有効化は永続的です。
• お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。

IRAP Protected 標準に基づくデータ処理でサポートされているプレビュー機能

IRAP Protected規格で規制されている処理データの処理には、次のプレビュー機能がサポートされています。

パブリック プレビュー :

• ワークスペース レベルの SCIM プロビジョニング

  ワークスペース レベルの SCIM プロビジョニングは、従来の機能です。Databricks では、代わりにアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。

• 環境変数のシークレットパス

• パブリック プレビュー段階のシステムテーブル

• Unity Catalog対応の DLT パイプライン

• Mosaic AI ゲートウェイ

• ServiceNow LakeFlow Connect コネクタ

• Google アナリティクス LakeFlow Connect コネクタ

• Unity Catalog のユーザー定義関数

• Hive metastoreへのアクセスを無効にする

• High memory for サーバレス コンピュート ノートブック タスク

• Git フォルダー内のダッシュボード

• 異常検出

• サーバレス Egress Control

• IAM 認証情報のパススルー

  資格情報のパススルーは、Databricks Runtime 15.0 以降で非推奨となり、将来の Databricks Runtime バージョンで削除される予定です。 Databricks では、Unity Catalog にアップグレードすることをお勧めします。 Unity Catalog は、アカウント内の複数のワークスペースにわたるデータアクセスを一元的に管理および監査するための場所を提供することで、データのセキュリティとガバナンスを簡素化します。 「Unity Catalog とは」を参照してください。

プライベートプレビュー :

• DLT クローンHive metastoreUnity CatalogAPI

• タグポリシー

• DBFS の無効化

• Unity Catalog の属性ベースのアクセス制御 (ABAC)

• ドキュメント解析

• デフォルトのストレージ

Databricksは、IRAP Protected規格で規制されているデータの処理を許可していますか?

はい、 要件に準拠している場合は、コンプライアンス セキュリティ プロファイルを有効にし、コンプライアンス セキュリティ プロファイル構成の一部として IRAP コンプライアンス標準を追加します。