APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Databricks > Databricksで実現するセキュアなデータコラボレーション:セキュリティ、フレームワーク、ユースケースを徹底解説

Databricksで実現するセキュアなデータコラボレーション:セキュリティ、フレームワーク、ユースケースを徹底解説

Databricks DAIS2025
< techblogAPCについて(はじめにお読み下さい) >

Databricksで実現するセキュアなデータコラボレーション:セキュリティ、フレームワーク、ユースケースを徹底解説

現代のビジネスにおいて、組織の垣根を越えたデータ共有と協業、すなわち「データコラボレーション」は、新たな価値を創出するための鍵となっています。しかし、その実践には、クロスクラウドやクロスリージョンといった環境の複雑さ、そして厳格なセキュリティとガバナンスの要件という大きな壁が立ちはだかります。

本記事では、Databricksが提供するセッション「Securing Data Collaboration: A Deep Dive Into Security, Frameworks, and Use Cases」の内容に基づき、同社の専門家であるBilal氏の解説を交えながら、安全なデータコラボレーションを実現するための具体的な手法とアーキテクチャを深掘りします。

この記事を読めば、Databricksのエコシステムを活用して、どのようにセキュリティを担保しながら、組織内外とのデータ共有や共同分析、AIモデル開発を加速できるのか、その具体的なイメージを掴むことができるでしょう。

※本記事は、Data + AI Summit のセッションを現地で視聴したエンジニアが、内容をできる限り客観的に共有することを目的に、生成AIを活用して作成したものです。 ― エーピーコミュニケーションズ Lakehouse部

Databricksが描くデータコラボレーションのエコシステム

Databricksは、安全かつ効率的なデータコラボレーションを実現するために、相互に連携する3つの主要な機能を提供しています。


* Delta Sharing: データをコピーせずにライブで共有できるプロトコルです。単一のデータソースを複数の相手にそのまま提供できる点が大きな特徴です。
* Databricks Cleanrooms: プライバシー保護が求められる共同分析やモデルトレーニングに特化した環境です。生データを明示的に公開せず、許可された処理のみを実行できます。
* Databricks Marketplace: データセットやAIモデル、ソリューションアクセラレータなどを発見・利用・提供できるプラットフォームです。

これらの機能は独立して存在するのではなく、連携することで強力なデータコラボレーション基盤を形成します。Marketplaceで見つけた資産をDelta Sharingで取り込み、必要に応じてCleanroomsでプライバシー保護を担保しながら共同分析する、といった一連のワークフローが実現可能です。

主要機能の仕組みとアーキテクチャ

Delta Sharingの基礎:単一コピー共有

Delta Sharingの最大のポイントは、単一コピーのデータをそのまま複数の利用者に共有できることです。これにより、ストレージの重複を避け、常に最新のデータにアクセスしつつ、運用コストを抑えられます。

Delta Sharingには利用形態が複数あり、ユースケースや導入環境に応じて選択できます。


* Managed Delta Sharing: Databricksプラットフォーム上で提供され、セットアップと運用が簡便です。
* Open Source Delta Sharing: 共有サーバーの管理を組織内で行う必要がありますが、Databricksを利用していない環境にもデータを公開できる柔軟性があります。

また、共有先の環境に応じたパターンがあります。


* D2D (Databricks to Databricks): 双方がDatabricksを利用する形態。ガバナンス設定を行いやすく、パフォーマンスも最適化できます。
* D2O (Databricks to Others): Databricks以外のクライアントへ共有する形態です。外部ツールとの連携が可能となります。

講演でも、利用者の環境に合わせた最適な共有方式の選択が推奨されていました。

Cleanroomsによるプライバシー保護


Databricks Cleanroomsは、生データを渡すことなく共同分析やモデルトレーニングを行いたい場面に適しています。参加者は自社データを安全な区画に持ち寄り、許可された処理のみを実行。最終的に得られた成果物のみを共有できるため、機密保持と共同価値創出を両立します。

Marketplace:データとAI資産の流通プラットフォーム

Databricks Marketplaceは、データセットやAIモデル、ソリューションアクセラレータなどを発見・利用・提供できるプラットフォームです。プロバイダーは自社資産を公開し、利用者は必要なデータやモジュールを容易に取り込んで活用できます。

セキュリティとガバナンスの要点

データコラボレーションの成否は、強固なセキュリティとガバナンスにかかっています。Databricksでは、多層的な仕組みでこれを実現しています。

認証・認可フロー


データ共有のアクセス制御には、Unity Catalogなどのカタログサービスが用いられます。利用者の身元確認(認証)とアクセス権の検証(認可)を通じて、テーブルやカラム単位で権限を細かく管理できます。外部IDプロバイダーとの連携も可能で、既存のID管理基盤を活用したシングルサインオンにも対応します。

一時的なアクセス制御:Cloud Tokenの仕組み

Delta Sharingでは、アクセス要求に応じて発行される短時間有効なCloud Tokenを利用します。利用者はこのトークンを使い、クラウドストレージに直接アクセス。トークンは期限切れや共有取り消し時に即座に失効し、永続的な認証情報をやり取りする必要がありません。

ネットワークセキュリティ:プライベート接続


クロスクラウドやクロスリージョンでの共有では、パブリックインターネットを経由しないプライベート接続機能を利用します。これにより、データ利用者のネットワークとプロバイダー側ストレージ間をクラウドバックボーン上で安全に接続できます。

監査とコンプライアンス

アクセスやクエリ履歴などは監査ログとして記録でき、誰がいつどのデータにアクセスしたかを追跡可能です。不正アクセスや異常な利用を早期に検知し、コンプライアンス遵守を支援します。

データ共有・協業の実践シナリオ

理論だけでなく、実践的な使い分けも重要です。講演では、以下のようなガイドラインが示されました。

共有方式の使い分けガイド

  • Delta Sharing vs SQLエンドポイント: 利用者が自身のコンピュートリソースを用いるか、プロバイダーが用意するかでコスト負担が異なります。組織横断の大量データ共有ではDelta Sharingが適しています。
  • D2D vs D2O: 共有先がDatabricks環境か外部ツールかで使い分けます。
  • Delta Sharing vs Cleanrooms: 生データ共有が許容される場合はDelta Sharing、機密性が高い場合はCleanroomsが適します。

ノートブックやAIモデルの共有

Delta Sharingでは表形式データだけでなく、ノートブックやAIモデルといった資産も共有可能です。分析のロジックやモデルトレーニング手順を含めて渡すことで、受信者は迅速に再現性の高い分析を実行できます。

セキュリティのベストプラクティス

  1. 適切な製品選定:ユースケースに応じてDelta Sharing、Cleanrooms、SQLエンドポイントなどを使い分ける。
  2. Unity Catalogによる一元管理:権限は最小権限の原則で細かく設定。
  3. プライベート接続の活用:外部共有やリージョン間通信ではプライベート接続機能で通信経路を保護。
  4. 監査ログの定期的なレビュー:不正アクセスや異常クエリを早期検知。
  5. 共有方式の柔軟な選択:相手環境や運用要件に合わせ、D2D/D2OやCleanroomsを適切に使い分ける。

まとめと今後の展望

Databricksのデータコラボレーション基盤は、効率的かつセキュアなデータ共有を実現し、組織の壁を越えた価値共創を後押しします。ここで紹介したフレームワークやユースケースを参考に、まずは小さなプロジェクトから試し、セキュリティとコラボレーションの両立を目指してみてください。安全なデータ共有を起点に、新たなビジネスチャンスが広がるはずです。