セキュリティーおよびコンプライアンス
無許可アクセスからの保護
IBM Cloud® Databases for Elasticsearch は、以下の方法を使用して、転送中のデータや保存されているデータを保護します。
- すべての Databases for Elasticsearch 接続で、転送中のデータに対して TLS/SSL 暗号化を使用します。 この暗号化の現在サポートされているバージョンは、TLS 1.2 です。
- アカウント、管理コンソールUI、およびAPIへのアクセスは、 Identity and Access Management (IAM )によって保護されます。
- データベースへのアクセスは、データベースで提供される標準的なアクセス制御によって保護されます。 このアクセス制御は、データベースへの事前アクセス、あるいは管理コンソール UI または API によってのみ取得できるデータベース・レベルの有効な資格情報を必要とするように構成されています。
- Databases for Elasticsearch ストレージはすべて、AES-256 を使用する LUKS で暗号化されたストレージ上で提供されます。 デフォルトの鍵は Key Protect によって管理されます。 暗号化のための Bring Your Own Key (BYOK) も、Key Protect 統合によって利用できます。
- IP 許可リスティング - すべてのデプロイメントは、サービスへのアクセスを制限するための IP アドレスの許可リスティングをサポートしています。
- パブリック・ネットワークとプライベート・ネットワーク - Databases for Elasticsearch は、サービス・エンドポイントと統合されています。 パブリック・ネットワークを介した接続を使用するか、IBM Cloud 内部ネットワークを介した接続を使用するか、あるいはその両方を介した接続を使用するかを選択できます。
- 専用コア - デプロイメントに専用コアを割り振ると、ハイパーバイザー・レベルの分離がデータベース・インスタンスに導入されます。これは、分離された仮想マシンを使用して、お客様のデータ処理を他のお客様から切り離しておくことによって実現しています。 また、最小限のCPU数を配備することもできる。 同じリソースグループおよび IBM Cloud 内の専用コアを持つデプロイメントでは、仮想マシンを共有できます。リージョンは仮想マシンを共有できます。
データの回復力
- サービスにはバックアップが含まれています。Databases for Elasticsearch のバックアップは、IBM Cloud Object Storage に置かれ、これもまた暗号化されます。
- Databases for Elasticsearch デプロイメントはレプリケーションを伴って構成されています。 デプロイメントには 3 つのノード (すべてデータ・ノード) を備えたクラスターが含まれており、どのノードも 1 次ノードになることができます。 また、 ノードを追加 すれば、より多くのノードを失ってもクォーラムを維持できるため、マルチノード障害時の安定性を高めることができる。
- IBM Cloud のシングル・ゾーン・リージョン (SZR) にデプロイした場合は、そのデータ・センター内で、各データベース・ノードが別々のホストに配置されます。
- IBM Cloud のマルチ・ゾーン・リージョン (MZR) にデプロイした場合は、そのリージョンの複数のアベイラビリティー・ゾーン・ロケーションに、各ノードが分散されます。
SOC 2 タイプ 2 認定
IBM は、Databases for Elasticsearch の Service Organization Controls (SOC) 2 タイプ 2 レポートを提供します。 このレポートは、米国公認会計士協会 (AICPA) Trust サービスの原則により設定されている基準に従って IBM の運用管理を評価します。 Trust サービスの原則は、IBM Cloud などのサービス・プロバイダーがその顧客のデータと情報を保護するために、適切な制御システムを定義するものであり、業界標準を確立しています。
SOC 2 タイプ 2 レポートは、カスタマー・ポータルから要求するか、営業担当員にお問い合わせください。 あるいは、IBM Cloud サポート でサポート・チケットをオープンすることもできます
ISO 27017、ISO 27018
Databases for Elasticsearchは、 ISO 27017 および ISO 27018で定義されている、クラウドサービスの提供と利用に適用される情報セキュリティ管理のガイドラインに準拠しています。
一般データ保護規則 (GDPR)
IBM Cloud にアカウントがある場合、お客様の個人データは IBM Cloud によって保持されます。 IBM データ処理補遺(補遺)は、 IBM 標準サービスを提供するために、 IBM がクライアントに代わってクライアントの個人データを処理する場合に適用されます。
IBM DPA
Databases for Elasticsearch は、サービスの実行とユーザー・エクスペリエンスの最適化の過程で、お客様の限られた個人情報 (PI) を処理します。
Databases for Elasticsearchは、コンテンツとデータ保護に関するデータ処理者としてのポリシーを データシート補遺(DSA )として提供しています。
HIPAA
Databases for Elasticsearch は、1996 年の医療保険の積算と責任に関する法律 (HIPAA) のセキュリティー・ルールおよびプライバシー・ルールの条件に見合った、必要な IBM のコントロールを満たしています。 これらの要件には、連邦規則集第 45 巻パート 160、およびパート 164 のサブパート A および C で事業提携者に対して要求されている、適切な管理的、物理的、および技術的な安全防護策が含まれます。 HIPAA はプロビジョニング時に要求され、代表者が IBM との Business Associate Addendum (BAA) 契約に署名する必要があります。
PCI DSS
Databases for Elasticsearch は、Payment Card Industry Data Security Standard (PCI DSS) に準拠しています。IBM Cloud では承認を受けた認定審査機関 (QSA) に依頼して PCI DSS 審査を毎年実施しており、お客様の要請があれば、発行された Attestations of Complianc (AOC) と Service Responsibility Matrix (SRM) ガイドを提示することができます。 監査員は、PCI DSS バージョン 3.2.1、サービス・プロバイダー・レベル 1 で、Databases for Elasticsearch の準拠をレビューしています。
カード所有者データの保管、処理、および送信を行う責任はお客様にあります。カード所有者データを保管、送信、および処理できるカード所有者データ環境 (CDE) は、Databases for Elasticsearch を使用して作成できます。 お客様は、独自の PCI DSS 認定を取得する際に、IBM Cloud AOC および SRM ガイドを要求して使用できます。 PCI DSS に準拠した方法で IBM Cloud プラットフォーム・サービスを使用して構築された CDE およびアプリケーションを文書化し、運用することは、お客様の責任で行う必要があります。
これらのプロセスを熟知し、お客様のポリシーに従ってサービスのデータ保存と削除を管理することは、お客様の責任で行う必要があります。
PCI DSS 対応の IBM Cloud プラットフォーム・サービスの全リストと、PCI DSS の AOC および SRM のガイドを要求するためのオプションについては、IBM Cloud コンプライアンスのページを参照してください。