IBM Cloudant でのデータの保護
IBM Cloudant DBaaS データの保護とセキュリティー
大規模な Web アプリやモバイル・アプリのアプリケーション・データの保護は、特に分散データベースおよび NoSQL データベースの場合、複雑である可能性があります。
データベースの保守の労力を削減しながら、データベースの稼働を維持し、データベースを停止せずに成長させることができます。 また、 IBM® Cloudant® for IBM Cloud® は、データの安全性と保護を確保します。
Tier 1 の物理プラットフォーム
IBM Cloudant DBaaS は、以下のような Tier-1 クラウド・インフラストラクチャー・プロバイダーで物理的にホストされます。 IBM Cloud® および Amazon。 そのため、そうしたプロバイダーによって使用される、以下を含むネットワーク・セキュリティーおよび物理的セキュリティーの手段 (これに限られません) でデータが保護されます。
- 証明書 - SSAE16、SOC2 Type 1、ISAE 3402、ISO 27001、CSA、その他の規格の準拠。
- アクセスおよび ID 管理。
- データ・センターおよびネットワーク運用センターのモニタリングによる一般の物理的セキュリティー。
- サーバー強化。
- IBM Cloudant では、SLA やコスト要件の変化に伴って、 異なるプロバイダーの間で柔軟に選択や切り替えができます。
証明書に関する詳細は、準拠情報にあります。
セキュアなアクセス制御
IBM Cloudant には、データへのアクセスを制御するための多数のセキュリティー機能が組み込まれています。
| 機能 | 説明 |
|---|---|
| 認証 | IBM Cloudant には、HTTPS API を使用してアクセスします。 API エンドポイントが必要とする場合、 IBM Cloudant が受信する HTTPS 要求ごとにユーザーが認証されます。 IBM Cloudant は、レガシー・アクセス制御と IAM アクセス制御の両方をサポートします。 詳しくは、IAM ガイドまたはレガシー 認証の資料を参照してください。 |
| 許可 | IBM Cloudant は、レガシーと IAM の両方のアクセス制御をサポートしています。 IBM Cloudant チームでは、可能な場合は認証に IAM アクセス制御を使用することをお勧めしています。 レガシー認証IBM Cloudantを使用している場合、プログラムアクセスやレプリケーションジョブにはアカウントレベルの認証情報ではなく、APIキーを使用することをお勧めします。 詳しくは、IAM ガイドまたはレガシー認証の資料およびレガシー許可の資料を参照してください。 |
| 保存時の暗号化 | IBM Cloudant インスタンスに保管されているすべてのデータは、 LUKS1 で 256 ビット Advanced Encryption Standard (AES-256) を使用して、保存時に暗号化されます。 デフォルトでは、IBM Cloudant はすべての環境用の暗号鍵を管理します。 保存時の暗号化に Bring Your Own Key(BYOK)暗号化が必要な場合は、 IBM Cloud Key Protect インスタンスに保管されている暗号鍵を使用して有効にします。 IBM Cloudant は、すべてのリージョンにデプロイされる新しい IBM Cloudant 専用ハードウェア・プラン・インスタンスの BYOK 機能をサポートします。 プロビジョン時に BYOK を選択する方法について詳しくは、『IBM Cloudant 専用ハードウェア・プラン・インスタンスの作成』チュートリアルを参照してください。 |
| イン・フライトの暗号化 | IBM Cloudant へのすべてのアクセスは HTTPS を使用して暗号化されます。 |
| クライアント・サイド暗号化 | お客様は、クライアント・サイド暗号化を使用して、データ保護がデータ所有者によって制御され、データがサービス・プロバイダーに対して決して可視にならないようにすることができます。 |
| TLS | IBM Cloudant では、TLS 1.2 以上を使用する必要があります。IBM Cloudant では、ご使用のアプリケーションで証明書をピン留めしないことを強くお勧めします。 証明書は少なくとも毎年定期的に更新され、中間証明書とルート証明書は更新時に変更される可能性があります。IBM Cloudantは証明書の更新前に通知を送信しません。 証明書トラストストアを最新のルート証明書に更新しておくことをお勧めします。IBM Cloudantは DigiCertから証明書を取得しています。 そのルート証明書は、DigiCertTrusted Root Authority Certificatesページで見つけることができます。IBM Cloudantは、異なる認証局に移動した場合に通知を送信します。 |
| Endpoints | すべての IBM Cloudant インスタンスは、パブリックにアクセス可能な外部エンドポイントで提供されます。 EU 管理クラウドの外部で 2019 年 1 月 1 日以降に作成される専用ハードウェア環境では、その環境にデプロイされているすべての標準プラン・インスタンス用の内部エンドポイントも追加されます。 内部エンドポイントを使用すると内部 IBM Cloudant ネットワークを経由して IBM Cloud® インスタンスに接続できるため、アップストリーム・アプリケーション・トラフィックがパブリック・ネットワークを通過することで発生する帯域幅のコストを低減できます。 詳細については、IBM Cloud®アカウントのサービス・エンドポイントを有効にする方法について、サービス・エンドポイントのドキュメントを参照してください。 |
| IP 許可リスト | IBM Cloudant customers, who have a dedicated IBM Cloudant environment, can allowlist IP addresses to restrict access to only specified servers and users. IP 許可リストは、マルチテナント環境にデプロイされている IBM Cloud Public のライト・プランまたは標準プランでは使用できません。 指定した IP セットまたは IP 範囲の IP 許可リストを要求するには、サポート・チケットをオープンしてください。 IP 許可リストは、IBM Cloudant の API およびダッシュボードの両方に適用されるので、IBM Cloudant ダッシュボードに直接アクセスする必要がある管理者の IP を含めるときは注意してください。 |
| CORS | IBM Cloudant ダッシュボードまたは API を使用して、特定ドメインの CORS サポートを有効にします。 詳しくは、CORS の資料を参照してください。 |
データ損失または破壊に対する保護
IBM Cloudant には、データの品質と可用性を維持するために、以下のように多くの機能があります。
| 機能 | 説明 |
|---|---|
| 冗長の永続的データ・ストレージ | デフォルトで、 IBM Cloudant は、全文書をクラスター内の 3 つの異なるノードにコピーしてディスクに保存します。 これらのコピーを保存することで、障害が発生しても、データの有効なフェイルオーバー・コピーが常に使用可能になります。 |
| データ複製とエクスポート | 異なるデータ・センターや Apache CouchDB のクラスター間で、データベースを継続的に複製することができます。 もう 1 つのオプションとして、データの冗長性を向上させるために、 |
IBM Cloudant (JSON 形式)
からその他のロケーションまたはソース (お客様独自のデータ・センターなど)
にデータをエクスポートすることができます。 |
IBM Cloudant でのデータの削除
IBM Cloudant ダッシュボードで、または API を使用して、個別の文書を削除できます。 文書は技術的には削除されず、代わりに圧縮されます。
詳しくは、データの削除を参照してください。
ドキュメントを削除するには、以下の手順を実行します。
- IBM Cloudant ダッシュボードに移動します。
- データベース」ページで、削除したい文書を含むデータベースをクリックします。
- 削除したい文書の横にあるチェックボックスをクリックします。
- **「削除」**をクリックします。
文書が圧縮対象に選択されます。
詳しくは、API リファレンス資料の Delete a document を参照してください。
IBM Cloudant インスタンスの削除
IBM Cloudant ダッシュボードで、または API を使用して、データベース・インスタンスを削除できます。
インスタンスが削除されると、7 日間の猶予期間が終了した後、データベース内のすべてのデータと、アカウント・レベルの情報(認証データなど)が自動的に削除されます。 IBM Cloudant は、プラットフォームを使用して作成されたインスタンスの連絡先の詳細を保持しません。 IBM Cloudant で E メール・アドレスなどの情報を共有したサポート・チケットがある場合、その情報はこのプロセスでは削除されません。
データベースを削除するには、以下の手順を実行します。
- IBM Cloudant ダッシュボードに移動します。
- 「データベース」ページで、削除するデータベースの横にある**「削除」**をクリックします。
- 削除しようとしているデータベースの名前を入力します。
- **「データベースの削除」**をクリックします。
データベースのリストからデータベースが削除されます。
データベースの削除を元に戻すことはできません。
詳しくは、API リファレンス資料の Delete a database を参照してください。
サービスの削除後にデータが保持される期間については、IBM Cloudant データ保持ポリシーに説明されています。 データ保持ポリシーは、IBM Cloudant のサービス記述に含まれています。サービス記述は、IBM Cloud ご利用条件と特記事項で確認できます。
IBM Cloudant の削除されたデータの復元
アカウントの削除後 7 日間の猶予期間があり、その間は削除要求を取り消すことができます。
データベースの削除を元に戻すことはできません。