使用中の暗号化

Queryable Encryption

Queryable Encryptionは、使用中の次の生成中の暗号化機能であり、 MongoDB Serverバージョン 6.0 でプレビュー機能として導入され、次にMongoDB Serverバージョン 7.0 の一般提供（GA）機能として導入されます。Queryable Encryption は、暗号化されたフィールドで等価性を検索することをサポートしており、各値を一意に暗号化します。

Queryable Encryptionの詳細については、 MongoDB Serverマニュアルの「 Queryable Encryption 」を参照してください。

クライアントサイドのフィールド レベル暗号化

クライアント側フィールド レベル暗号化（ CSFLE ）はMongoDB Serverバージョン 4.2 で導入され、暗号化されたフィールドの等価検索をサポートしています。 CSFLE は、フィールドを暗号化するために決定的またはランダムな暗号化アルゴリズムのいずれかを選択できる点で Queryable Encryption と異なります。 CSFLE を使用している場合は、決定的な暗号化アルゴリズムを使用する暗号化されたフィールドのみをクエリできます。 CSFLE のフィールドを暗号化するためにランダムな暗号化アルゴリズムを使用する場合、それらは復号化することはできますが、それらのフィールドに対して等価クエリを実行することはできません。 Queryable Encryption を使用する場合、暗号化アルゴリズムを指定することはできませんが、すべての暗号化されたフィールドをクエリできます。

値を確定的に暗号化すると、同じ入力値によって同じ出力値が生成されます。 決定的な暗号化を使用すると、暗号化されたフィールドに対してクエリを実行できますが、濃度の低い暗号化データは、頻度分析によるコードの影響を受けやすくなります。

CSFLEの詳細については、サーバー マニュアルの「CSFLE」を参照してください。

集計パイプラインのサポート

MongoDB Server 8.1 以降では、 使用中の暗号化用に構成されたクライアントで $lookup集計ステージを使用できます。この機能には、mongodb-client-encryptionパッケージバージョン 6.3.0 以降が必要です。

$lookup ステージでは、アプリケーションコードでドキュメントを手動で取得して結合する必要なく、暗号化されたコレクション全体の関連データを結合できます。使用中の暗号化には、ソースコレクションと fromコレクションの両方を構成する必要があります。localField と foreignField で指定されるフィールドは暗号化されたフィールドであってはなりません。

次の例では、暗号化されたコレクションに対する $lookup操作を示しています。

const pipeline = [
  {
    $lookup: {
      from: "encryptedCollection",
      localField: "userId",
      foreignField: "_id",
      as: "userDetails"
    }
  }
];
const results = await collection.aggregate(pipeline).toArray();