IBM Cloud Docs
データ・セキュリティーとコンプライアンス

データ・セキュリティーとコンプライアンス

IBM® Key Protect for IBM Cloud® には、ユーザーのコンプライアンス要件を満たし、データをクラウド内で確実にセキュアに保護するために、データ・セキュリティー戦略があります。

シークレットの管理

デプロイメントに必要なシークレットは、HashiCorp Vault を使用して自動化によって管理され、チャート、GitHub、またはデプロイメント・スクリプトには保管されません。

セキュリティー対応

Key Protect は、システム、ネットワーキング、およびセキュアなエンジニアリングに関する IBM のベスト・プラクティスに従うことで、セキュリティー対応を確実なものにします。

IBM Cloud におけるセキュリティ・コントロールの詳細については、こちらをご覧ください、 をご覧ください。 自分のデータが安全であることを知るには?

データ暗号化

Key Protect は、 IBM Cloud ハードウェア・セキュリティ・モジュール(HSM)を使用して、プロバイダが管理する鍵素材を生成し、 エンベロープ暗号化 処理を実行する。 HSM は、改ざんに耐性のあるハードウェア・デバイスであり、暗号境界外部に鍵を公開することなく暗号鍵素材を保管および使用します。

Key Protect へのアクセスは HTTPS 経由で行われ、Transport Layer Security (TLS) を使用して転送中のデータを暗号化します。

以下の TLS 1.2 および TLS 1.3 暗号のみがサポートされることに注意してください。

  • TLS 1.2:
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-RSA-AES256-SHA384
  • TLS 1.3:
    • TLS_AES_256_GCM_SHA384
    • TLS_AES_128_GCM_SHA256
    • TLS_CHACHA20_POLY1305_SHA256

このリストにない暗号を使用しようとすると、接続の問題が発生する可能性があります。 サポートされている暗号のいずれかを使用するようにクライアントを更新してください。 openssl を使用している場合は、コマンド行でコマンド openssl ciphers -v を使用して ( openssl のインストール済み環境によっては、 -s -v オプションを使用して)、クライアントがサポートする暗号の詳細リストを表示することができます。

データ削除

鍵を削除すると、サービスはその鍵に削除済みとしてマークし、鍵は_破棄_状態に移行します。 この状態の鍵は、鍵に関連付けられているデータの復号にもう使用できません。 そのため、鍵を削除する前に、鍵に関連付けられているデータを確認し、そのデータにもうアクセスする必要がないことを確認してください。 実稼働環境でデータをアクティブに保護している鍵を削除しないでください。

鍵を誤って削除した場合は、鍵を削除してから 30 日以内であれば復元することができます。 30 日を過ぎると、鍵は復元できなくなります。 詳しくは、鍵の復元を参照してください。

鍵を復元しない場合でも、それらのサービスには、暗号化された形式のデータが残ることに注意してください。 鍵の遷移履歴や名前など、鍵に関連付けられているメタデータは、Key Protect データベースに保管されます。

鍵によって保護されているデータを判別する際に役立つように、Key Protect API を使用して、鍵とクラウド・リソースの間の関連付けを表示できます。

アカウントのキャンセルとデータの削除

削除されていない鍵が含まれているインスタンスは削除できませんが、最初にすべての Key Protect インスタンスを削除することなく、 IBM Cloud アカウント を閉じることができます。 アカウントがクローズされ、そのアカウントに属するインスタンスと鍵がまだ存在する場合、それらのインスタンスと鍵は完全にハード削除されます。

アカウントのクローズについて詳しくは、 アカウントのクローズ を参照してください。

コンプライアンス対応

Key Protect はグローバル、業界、および地域のコンプライアンス規格 (GDPR、HIPAA、および ISO 27001/27017/27018 など) の規制に準拠しています。

IBM Cloud。 をご覧ください。 IBM Cloud。

EU サポート

Key Protect には、EU 内の Key Protect リソースを保護するための追加の制御機能が用意されています。

ドイツ・フランクフルト地域の Key Protect リソースを使用してヨーロッパ市民の個人データを処理する場合は、IBM Cloud アカウントの「EU サポートあり」設定を有効にすることができます。 アカウント。 詳しくは アカウントのEUサポートを有効にするをご覧ください。

一般データ保護規則 (GDPR)

GDPR は、EU 全域における統一されたデータ保護の法的枠組みを作成しようというものです。 この規則は、個人データの管理権限を市民の手に取り戻すことを目的とし、個人データをホスティングおよび処理するものに対して厳格な規則を課します。

IBM は、クライアントと IBM 革新的なデータ・プライバシー、セキュリティー、およびガバナンスのソリューションを備えたビジネス・パートナーが、GDPR への対応を支援します。

以下の GDPR コンプライアンスを確保するには Key Protect リソースを有効にします、 EUサポート設定を有効にする を有効にしてください。 IBM Cloud 次の補足を確認することで、 Key Protect が個人データを処理および保護する方法について詳しく知ることができます。

HIPAA サポート

Key Protect は、処理、保管、転送、または別の方法で個人医療情報 (PHI) と接することはありません。 したがって、このサービスの HIPAA 準拠に影響を及ぼすことなく、このサービスを任意の HIPAA オファリングと統合することができます。 そのため、 Key Protect を使用して、HIPAA 対応アプリケーションの鍵を生成および管理できます。 これらの鍵は、 Key Protect トラスト・アンカーによって保護されています。これは、改ざん防止および FIPS-140-2 レベル 3 認定のハードウェア・セキュリティー・モジュール (HSM) によって支えられています。

お客様またはお客様の会社が、HIPAA が定める適用対象事業者または事業体である場合は、IBM Cloud アカウントで「HIPAA サポートあり」設定を有効にすることができます。 詳しくは HIPAAサポート設定を有効にする

ISO 27001、27017、27018

Key Protect は、ISO 27001、27017、27018 の各認証を取得しています。 コンプライアンス認証は、以下をご覧ください。 IBM Cloud。

Service Organization Control (SOC)

Key Protect は、以下のタイプの Service Organization Control (SOC) に準拠しています。

  • SOC 1 タイプ 2
  • SOC 2 タイプ 1
  • SOC 2 Type 2
  • SOC 3

IBM Cloud SOCレポートの請求については を参照のこと。 IBM Cloud。

PCI DSS

Key Protect は、カード所有者データを保護するための Payment Card Industry (PCI) データ・セキュリティー標準の制御に対応しています。 コンプライアンスの認証を要求する方法について詳しくは、IBM Cloud のコンプライアンスを参照してください。 または IBM までお問い合わせください。