次の Atlas 機能を使用して、コンプライアンス要件に対処します。
認証と規制へのコンプライアンス
セキュリティとプライバシーの要件に対処するために、 MongoDB Atlas は最高レベルの 標準コンプライアンス と 規制コンプライアンスを提供することを目的としています。
Atlas データ プラットフォームは、セキュリティ制御、プライバシー制御、および組織制御を検証するために、厳格な独立監査を受けます。これらの監査は、規制の厳しい業界特有の要件も含め、プラットフォームがコンプライアンスや規制要件を満たしていることを確認するのに役立ちます。
Atlas は、ISO/IEC 27001 と 9001、PCI DSS、 HIPAA、 GDPR、FedRAMP、およびその他の認証を取得しています。認証の完全なリストは、このセクションに含まれています。
これらの認証により、特定の基準に準拠するように Atlas を構成できることを平均。コンプライアンス を確保するために、標準の推奨設定に従ってください。
Atlas は次の認証を保持しています。
ISO/IEC 27001:2022 : 情報セキュリティ管理システムのグローバル標準。
ISO/IEC 27017:2015 : クラウド固有のセキュリティ制御のグローバル標準。
ISO/IEC 27018:2019 :クラウド上の機密データ(PII)を保護するためのグローバル標準。
ISO 9001:2015: 品質マネジメントのための世界的に認められた基準。
PCI DSS: クレジットカードデータの処理およびアクセスのための要件。
HIPAA : 米国のプライバシー規則は、医療情報を保護します。
GDPR :EU および EEA の一般的なデータ保護規則。
IRAP : オーストラリア政府のサーバーセキュリティ評価フレームワーク。
TX-RAMP : テキストリスクと認証管理プログラム。
Tiger : 自動車業界向けの トラスト 情報セキュリティ アサーション エクスペリエンス。
HDS: 医療データをホスティングするためのフランスの標準(Hébergeur de Données de Santé)。
詳しくは、 MongoDB Atlasの包括的なコンプライアンスと信頼プログラムである Atlas トラスト センター にアクセスしてください。
暗号化
暗号化を実装することで、データ処理のすべての段階でデータのセキュリティとコンプライアンスを確保できます。暗号化は特定の基準へのコンプライアンスを確保するための最も一般的な要件の 1 つであり、Atlas は要件を満たすための堅牢な暗号化オプションのセットを提供します。
デフォルトでは 、Atlas は転送中のデータを暗号化します。データのプライバシーと規制コンプライアンスを確保するために、Atlas ではデータベースへの接続を暗号化するために TLS / SSL が必要です。
デフォルトでは、Atlas はクラウドプロバイダーのディスク暗号化を使用して保管中のすべてのデータを暗号化します。Atlasクラウドバックアップを使用する場合、Atlas は AES-256 暗号化を使用して、Atlas クラスター内の S バケットに保存されているすべてのデータを暗号化します。3さらに、Atlas は、Amazon Web Services KMS、AKV、GCPを使用して、ストレージエンジンとクラウドプロバイダーのバックアップを暗号化するのをサポートしています。詳しくは、「 キー管理を使用した保管時の暗号化 」を参照してください。
Queryable Encryption を使用して、MongoDB に保存されたドキュメント内の特定の機密性の高いフィールドの暗号化されたデータに対するクエリを保護できます。Queryable Encryption を使用することで、ユーザーがデータに対してクエリを実行しても、機密情報は保護されたままになります。
よく検索された非決定的な暗号化スキームを使用して、セキュリティと機能のバランスを維持します。
Queryable Encryptionを使用すると、次のタスクを実行できます。
クライアント側からの機密データフィールドの暗号化。
Atlas で実行されるデータベースクラスター側に、機密データフィールドを完全にランダム化され暗号化されたデータとして保存します。
暗号化されたデータに対する表現クエリの実行。
MongoDB は、処理しているデータをサーバーに知られることなく、これらのタスクを完了します。
Queryable Encryptionを使用すると、機密データは、転送中、保存中、使用中、ログ、バックアップなどのライフサイクル全体にわたって暗号化されます。暗号化のキーにアクセスできるのはユーザーだけであるため、データはクライアント側でのみ復号化されます。
次のメカニズムを使用して、Queryable Encryption を設定できます。
自動暗号化を使用すると、フィールドを暗号化および復号化するための明示的な呼び出しを追加することなく、暗号化された読み取りおよび書込み操作を実行できます。クライアントアプリケーションの作成プロセスが効率化されるため、ほとんどの状況において自動暗号化を推奨します。自動暗号化を使用すると、 MongoDB は読み取りおよび書込み (write) 操作においてフィールドを自動的に暗号化および復号化します。
明示的な暗号化を使用すると、 MongoDBドライバーの暗号化ライブラリを使用して暗号化された読み取りおよび書込み操作を実行できます。アプリケーション全体でこのライブラリを使用して暗号化のロジックを指定する必要があります。明示的な暗号化により、セキュリティをきめ細やかに制御できますが、コレクションの構成やMongoDBドライバー のコード記述の複雑さは増しコスト。明示的な暗号化では、データベースで実行する各操作に対してドキュメント内のフィールドを暗号化する方法を指定し、このロジックをアプリケーション全体に含めます。
詳細については、「明示的な暗号化の使用」を参照してください。
Data Sovereignty
Atlas は Amazon Web Services、Azure、GCP に対して 110 以上のリージョンでサポートしています。サポートしているロケーションがグローバルに分散されていることにより、データ主権およびコンプライアンス要件に準拠してクラスターをプロビジョニングし、データを保存することができます。Atlas でビルドされるアプリケーションのデータ主権の要件を理解することは、適切なガバナンスに準拠し続けるために必要です。さらに、Atlas では、ゾーン シャーディングを使ったグローバルクラスターを通じて、データ主権へのコンプライアンスが簡素化できます。
グローバルクラスターを使用してデータのストレージ場所を制御できます。データベース内のデータを、異なる地理的場所にある個別のゾーンに分割して保存できます。例、ヨーロッパのカスタマーデータをヨーロッパに保存し、米国のカスタマーデータを米国に保存できますこれにより、データ所有権規則に準拠し、それぞれのリージョンからデータにアクセスするユーザーのレイテンシを軽減できます。詳しくは、「 グローバルクラスター 」を参照してください。
バックアップ スナップショットの分散
バックアップ スナップショットと oplog データを複数のリージョンに分散できます。例えば、コンプライアンス要件を満たし、地理的に異なるロケーションにバックアップを保存することで、地域的な停止時でも確実に障害復旧することができます。詳細については、「スナップショットの分散」を参照してください。
バックアップ コンプライアンス ポリシー
Atlas のバックアップ コンプライアンス ポリシーを使用して、ビジネス重要なデータを保護できます。Atlas に保存されているすべてのバックアップスナップショットとoplogデータが、Atlas ロールに関係なく、ユーザーによる事前定義された保持期間中に変更または削除されるのを防ぐことができます。
これにより、バックアップが完全に WORM(Write Once Read Many)に準拠していることが保証されます。MongoDB サポートおよび法務部門による検証プロセスを完了した後、指定された承認済みユーザーのみがこの保護を解除できます。これにより、攻撃者がバックアップポリシーを変更してデータをエクスポートできないように、手動による遅延とクールダウン期間が必須となります。詳細については、「バックアップ コンプライアンス ポリシーの構成」を参照してください。