セキュリティーおよびコンプライアンス
無許可アクセスからの保護
IBM Cloud® Databases for Redis は、転送中のデータや保管されているデータを、以下の方式で保護します。
- 転送中のデータに対しては、すべての Databases for Redis 接続で TLS/SSL 暗号化を使用します。 この暗号化の現在サポートされているバージョンは、TLS 1.2 です。
- アカウント、管理コンソール UI、API へのアクセスは、ID およびアクセス管理 (IAM) によって保護されます。
- データベースへのアクセスは、データベースで提供される標準的なアクセス制御によって保護されます。 このアクセス制御は、データベースへの事前アクセス、あるいは管理コンソール UI または API によってのみ取得できるデータベース・レベルの有効な資格情報を必要とするように構成されています。
- Databases for Redis ストレージはすべて、AES-256 を使用する LUKS で暗号化されたストレージ上に提供されます。 デフォルトの鍵は Key Protect によって管理されます。 暗号化のための Bring Your Own Key (BYOK) も、Key Protect 統合によって利用できます。
- コンテキスト・ベースの制限- コンテキスト・ベースの制限は、アカウント所有者と管理者に、アクセス要求のコンテキストに基づいてリソースのアクセス制限を定義し、実施する能力を与える。
- Isolated Compute - Isolated Computeは、複雑で高性能なエンタープライズ・ワークロード向けのセキュアなシングルテナント・サービスです。 Cloud DatabasesIsolated Computeは、お客様のデプロイメントと関連するすべてのユーザーデータ管理エージェントを分離されたマシン上に配置することで、専用のコンピューティングリソース、専用のストレージ帯域幅、ハイパーバイザーレベルの分離を提供します。
- パブリック・ネットワークとプライベート・ネットワーク - Databases for Redis は、サービス・エンドポイントと統合されています。 パブリック・ネットワークを介した接続を使用するか、IBM Cloud 内部ネットワークを介した接続を使用するか、あるいはその両方を介した接続を使用するかを選択できます。
- 専用コア - デプロイメントに専用コアを割り当てると、データベース・インスタンスをハイパーバイザー・レベルで分離し、分離された仮想マシンを使用して、データ処理を他の利用者から分離した状態に維持することができます。 デプロイメントの最低限の CPU 数も保証されています。 同じリソース・グループかつ同じ IBM Cloud リージョンで専用コアを使用するデプロイメント間では、仮想マシンを共有できます。
- IP allowlisting(非推奨) - すべてのデプロイメントで、サービスへのアクセスを制限するための IPアドレスのallowlisting がサポートされています。
データ・レジリエンス
- Redis をキャッシュとして構成する場合を除き、デプロイメントにはバックアップが備えられます。 Databases for Redis のバックアップは、IBM Cloud Object Storageに置かれ、暗号化されます。
- すべての Databases for Redis デプロイメントの構成でレプリケーションが使用され、データの回復力と高可用性の両方が実現されています。 デプロイメントには、プライマリ/レプリカ構成の2つのデータ・メンバーを持つクラスタが含まれ、ステートは3つの Redisセンチネルからなるクォーラムで管理される。
- IBM Cloud のシングル・ゾーン・リージョン (SZR) にデプロイした場合は、そのデータ・センター内で、各データベース・ノードが別々のホストに配置されます。
- IBM Cloud のマルチ・ゾーン・リージョン (MZR) にデプロイした場合は、そのリージョンの複数のアベイラビリティー・ゾーン・ロケーションに、各ノードが分散されます。
準拠証明
SOC 2 タイプ 2 認定
IBM は、Databases for Redis の Service Organization Controls (SOC) 2 タイプ 2 レポートを提供します。 このレポートは、米国公認会計士協会 (AICPA) Trust サービスの原則により設定されている基準に従って IBM の運用管理を評価します。 Trust サービスの原則は、IBM Cloud などのサービス・プロバイダーがその顧客のデータと情報を保護するために、適切な制御システムを定義するものであり、業界標準を確立しています。
SOC 2 タイプ 2 レポートは、カスタマー・ポータルから要求するか、営業担当員にお問い合わせください。 あるいは、IBM Cloud サポート でサポート・チケットをオープンすることもできます
ISO 27017、ISO 27018
Databases for Redis は、ISO 27017 および ISO 27018 で定義されている、クラウド・サービスのプロビジョンと使用に適用される機密保護管理に関するガイドラインに準拠しています。
一般データ保護規則 (GDPR)
IBM Cloud にアカウントがある場合、お客様の個人データは IBM Cloud によって保持されます。 The IBM Data Processing Addendum (DPA) applies to the processing of client's personal data by IBM on behalf of client in order to provide IBM standard services.
IBM DPA
Databases for Redis は、サービスを実行し、ユーザー・エクスペリエンスを最適化する際に、限られたお客様個人情報 (PI) を処理します。
Databases for Redisは、コンテンツとデータ保護に関するデータ処理者としてのポリシーを データシート補遺(DSA)に記載しています。
HIPAA
Databases for Redis は、1996 年の医療保険の積算と責任に関する法律 (HIPAA) のセキュリティー・ルールおよびプライバシー・ルールの要件に相応する、必要な IBM のコントロールを実施しています。 これらの要件には、連邦規則集第 45 巻パート 160、およびパート 164 のサブパート A および C で事業提携者に対して要求されている、適切な管理的、物理的、および技術的な安全防護策が含まれます。 HIPAA はプロビジョニング時に要求され、代表者が IBM との Business Associate Addendum (BAA) 契約に署名する必要があります。
PCI DSS
Databases for Redis は、Payment Card Industry Data Security Standard (PCI DSS) に準拠しています。IBM Cloud は、承認された認定セキュリティー評価機関 (QSA) を使用して PCI DSS 評価を毎年実行します。結果として得られる Attestations of Compliance (AOC) および Service Responsibility Matrix (SRM) のガイドは、お客様の要求に応じて提供されます。 監査員は、PCI DSS バージョン 3.2.1 の Service Provider Level 1 への準拠について Databases for Redis をレビューしました。
お客様のカード所有者データの格納、処理、伝送の責任はお客様が負います。お客様は Databases for Redis を使用して、カード所有者データを格納、処理、伝送できるカード所有者データ環境 (CDE) を作成できます。 お客様は、独自の PCI DSS 認定を取得する際に、IBM Cloud AOC および SRM ガイドを要求して使用できます。 PCI DSS に準拠した方法で IBM Cloud プラットフォーム・サービスを使用して構築された CDE およびアプリケーションを文書化し、運用することは、お客様の責任で行う必要があります。
これらのプロセスを熟知し、お客様のポリシーに従ってサービスのデータ保存と削除を管理することは、お客様の責任で行う必要があります。
PCI DSS 対応の IBM Cloud プラットフォーム・サービスの全リストと、PCI DSS の AOC および SRM のガイドを要求するためのオプションについては、IBM Cloud コンプライアンスのページを参照してください。