目次


クラウド・ベースの健康データを暗号化データベースによって保護する

IBM LinuxONE をベースに作成された Hyper Protect クラウド・サービスを利用して、健康データのセキュリティー・レベルを引き上げる"

Comments

機密データがセキュリティーで保護されるようにすることは誰にとっても重要な懸念事項ですが、機密性の高い健康データを扱うとなると、その重要性はさらに増してきます。IBM LinuxONE をベースに作成された Hyper Protect クラウド・サービスは、セキュリティーのレベルを一段引き上げます。この DBaaS サービスを利用すると、アプリケーションに一切変更を加えることなく、保存時も転送時も自動的にデータを暗号化できます。しかも、他の DBaaS クラウド・サービスとは異なり、データに対するアクセス権を持つのはサービスのユーザー本人だけです。IBM Hyper Protect Crypto Services を利用して暗号鍵管理を完全に制御すれば、クラウド管理者でさえも暗号鍵にアクセスできなくなります。

場合によっては、DBaaS のサービス品質をレベルアップしなければならないことがあります。例えば、機密性の高い個人情報を扱っていて、暗号化が鍵となる場合 (語呂合わせのつもりです!)、想定外の需要の急増 (災害発生時など) に応じて即座にスケーリングしなければならない場合、ミリ秒単位でのレイテンシーも許容されない場合などです。緊急時に人命を救うためのデータを処理しているアプリであるか、ビジネスに不可欠な金融取引や機密データに関与するアプリであるかにかかわらず、こうしたアプリには共通して最大レベルのセキュリティー、スケーラビリティー、スピードが求められます。IBM Cloud Hyper Protect DBaaS を利用すれば、開発者は必要とされるサービス品質を達成するアプリケーションを作成する力を得ることができます。

Hyper Protect DBaaS は、高度なセキュリティーで保護されたデータベースをオンデマンドで提供する、IBM Cloud のサービスです。この柔軟でスケーラブルなプラットフォームでは、任意のデータベースを迅速、簡単にプロビジョニングして管理することができます。

この IBM Cloud オファリングでは、MongoDB データベース・クラスターを使用できるようになっています。各データベース・クラスターは 1 つのプライマリー・データベース・インスタンスと、プライマリー・インスタンスをバックアップする 2 つのインスタンス・レプリカからなります。

IBM Cloud Hyper Protect DBaaS では、IBM Cloud 内にデータベース・クラスターを作成して、データベース・インスタンスの管理、データベース・ユーザーの管理、データベースの作成およびモニタリングを行うことができます。

IBM では、IBM Cloud Hyper Protect DBaaS によって作成されたデータベースを、次のような可用性に優れたセキュアな環境内でホストします。

  • 基礎となる複数のテクノロジーを使用してユーザーのデータを保護し、IBM やサード・パーティーからのアクセスを防ぎます。さらに、IBM Secure Service Container テクノロジーによる改ざん防止環境を使用してシステムを保護します。システムへのアクセスは制限され、明確に定義された RESTful API を使用しない限り、アクセスできないようになっています。
  • データは保存中も転送時も暗号化されます。
  • システム・ハードウェア、システム構成、データベース・セットアップにより、高可用性が確保されます。

学習の目的

このチュートリアルでは、セキュアでパフォーマンスに優れた MongoDB クラスターをデータ・ストレージとして作成し、使用、管理する簡単な方法を説明します。

前提条件

以下に説明する手順に従うには、MongoDB を熟知している (または実用的知識を持っている) 必要が必要です。

所要時間

このアクティビティーの所要時間は約 20 分です。

手順

この入門ガイドでは、以下の 3 つのステップで非常にセキュアなデータベースを作成、管理する方法を説明します。

  1. データベース・クラスターを作成する
  2. データベース・クラスターを管理する
  3. データベースにアクセスする

はじめに: データベース・クラスターを作成する

まずは、データベース・クラスターを作成しましょう。IBM Cloud Hyper Protect DBaaS サービスの構成画面で必要なフィールドに値を入力し、「Create (作成)」をクリックします。これにより 3 つのデータベース・インスタンスが作成され、それぞれのホスト名とポート番号が表示されます。この情報とカタログ内で指定したユーザー資格情報を使用して、データベースを作成したりデータベースにアクセスしたりできます。

データベース・クラスターを管理する

データベース・クラスター内では、新しいデータベースを作成したり、既存のデータベース・インスタンスを管理したりできます。また、ユーザーの作成や削除、データベース・ログの取得も行うこともできます。

IBM Cloud Hyper Protect DBaaS に用意されている DBaaS Manager が、こうしたユーザーのリクエストを管理し、利用可能なリソースに応じてインテリジェントにリクエストをスケジューリングします。

DBaaS Manager にリクエストを送信するには、以下のいずれかのインターフェースを使用できます。

  1. Web ユーザー・インターフェース
  2. RESTful API
  3. コマンド・ライン・インターフェース (CLI)

データベースにアクセスする

データベースを作成した後は、mongo シェル、任意の MongoDB ドライバー、または MongoDB Compass などのツールを使用してデータベースを管理できます。

始める前に

セキュアなデータ転送を確実にするために、https://api.hypersecuredbaas.ibm.com/cert.pem から認証局 (CA) ファイルを取得し、それを適切なディレクトリーにコピーします。

mongo シェル

Hyper Protect DBaaS ダッシュボードから、データベースに接続するために必要な情報を取得できます。

  1. Hyper Protect DBaaS ダッシュボードに、実行可能な mongo シェル・コマンドが表示されます。コマンドの横にあるアイコンをクリックすると、そのコマンドがクリップボードにコピーされます。
  2. セキュアなデータ接続が SSL エラーで失敗した場合は、取得した CA ファイルを指定して、サーバー資格情報を検証します。CA ファイルを指定するには、--sslCAfile パラメーターを追加します。
例:
# mongo 'mongodb://<Hostname_1>:<PortNumber_1>,\
<Hostname_2>:<PortNumber_2>,\
<Hostname_3>:<PortNumber_3>/admin?replicaSet=<replicaSetName>' \
--ssl --username <userID> --password <password> --sslCAFile cert.pem

ここで:

Hostname_i は、データベース・レプリカのホスト名です (i=1、2、3)。

PortNumber_i は、データベース・レプリカのポート番号です (i=1、2、3)。

replicaSetNamev は、Hyper Protect DBaaS ダッシュボード内に示される、取得したレプリカ・セットの名前です。

userID は、サービス構成画面内に示される、DBA のユーザー ID です。

password は、サービス構成画面内に示される、DBA のパスワードです。

その他のツール

Protect DBaaS では、MongoDB Compass などの他のツールを使用して、ホストに接続するための SSL サーバー証明書を検証することもできます。必要に応じて、提供された CA ファイルを使用してください。

まとめ

これで、IBM Cloud サービスを利用して迅速、簡単に超セキュアなデータベースを作成し、管理する方法がわかったはずです。他の超セキュアなサービスを試すには、以下の参考文献に一覧表示されているブログを参照してください。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Information Management, セキュリティ, Cloud computing
ArticleID=1065495
ArticleTitle=クラウド・ベースの健康データを暗号化データベースによって保護する
publish-date=04182019