FAQ: セキュリティ
項目一覧
Atlas はどのようにデータを暗号化しますか。
Atlas は、クラスター データやそのデータのバックアップを含む保管中のすべてのデータに対してボリューム(ディスク)の暗号化を使用します。
Atlas では、クライアント データとクラスター内ネットワーク通信に TLS暗号化も必要です。
Atlas の暗号化に関する詳細情報が組織で必要な場合は、 Atlas MongoDB サポートにお問い合わせください。
Atlas で、 Project Support ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Projects メニューの横にある Options メニューをクリックし、 Project Support をクリックします。
プロジェクト サポートページが表示されます。
配置で TLS を無効にできますか。
No.
Atlas はどのバージョンの TLS をサポートしていますか?
Atlas では、すべての Atlas クラスターにTLS接続が必要です。 2020 年 7 月以降、 のバージョンに関係なく、すべての新しいAtlas Atlasクラスターに対してトランスポート層セキュリティ ( TLS ) プロトコル バージョン 1.2 をデフォルトで有効にしましMongoDB 。
MongoDB 4.0以降では TLS 1.0のサポートは無効化されています TLS 1 。 1 + が利用可能です。 TLS1 を手動で構成できます。1 または1 0。 による クラスター構成の編集 による
変更のタイミングと理由の詳細は、 PCI( Payment Card Infrastructure) から および米国標準とテクノロジーの機関(NEST) 。
TLSのサポートに質問がある場合、またはTLS 1.2をサポートするようにアプリケーションを更新できない場合は、 Atlas MongoDB サポートにお問い合わせください。
Atlas サポートチケットを開くには:
Atlas で、Project Support ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Projects メニューの横にある Options メニューをクリックし、 Project Support をクリックします。
プロジェクト サポートページが表示されます。
アプリケーションが TLS 1.2 をサポートしているかどうかを確認するには
基礎となるプログラミング言語またはセキュリティ ライブラリがTLS 1.2 より前のアプリケーションの場合、 TLS 1.2 をサポートするには最新バージョンへの更新が必要になる場合があります。 TLS 1.2 をサポートするには、アプリケーション ホストのオペレーティング システムも更新する必要がある場合があります。
MongoDB と Atlas は、 TLSのバージョンがサポートする外部アプリケーションを監査するためのサービスを提供していません。 サードパーティ サービス( whensmysl.com など) は適切なツールを提供する場合があります。MongoDB はこのサービスをサポートしておらず、その参照は情報提供のみです。 アプリケーションを監査するためのベンダーまたはサービスを選択するには、組織の手順を使用します。
TLS 1.2 のクラスターを更新するにはどうすればよいですか?
TLS 1.2 をサポートするアプリケーションの監査を実行します。
TLS 1.2 をサポートしていないテクノロジー スタックのすべてのコンポーネントをアップデートします。
TLS 1.2 を使用するようにクラスター構成を 変更 します。
TLS 1.0 を強制的に有効にできますか。
Atlas では、 クラスターの変更 中に TLS 1.0 を手動で構成できます。
Atlas クラスターでTLS 1.0 を有効にすると、重大なリスクが生じます。 TLS 1.0 を有効にするのは、 TLS 1.2 をサポートするようにアプリケーション スタックをアップデートするために必要な期間のみにしてください。
MongoDB Atlas TLS 証明書にはどの認証局が署名していますか。
MongoDB Atlasは、すべてのクラスターの TLS 証明書の証明機関として let s Encrypt を使用します。
2025 の 6 月から、可用性を向上させるために、Atlas クラスターの追加の認証局として Google トラスト サービスを追加しています。 これにより、Atlas は、 let s Encrypt の ルート認証局に加えて、Google トラスト サービスの または ルート認証局を使用してクラスターの GTS Root R1GTS Root R2TLS 証明書に署名します。ISRG Root X1
注意
ほとんどのアプリケーション環境には、信頼できる認証局リストに lets Encrypt と Google トラスト サービスがすでに含まれています。
認証局証明書をダウンロードするには、 Google トラスト サービスのリポジトリと ISRG ルート X1 を参照してください。
Atlas クラスターによる TLS 証明書のローテーション頻度
TLS 証明書は、発行された日から90 日間有効です。証明書は、証明書の有効期限が切れる 42 日前にローテーションされます。
次のコマンドを使用して、ノードの TLS 証明書の有効期限を確認します。
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
ハードコードされた認証局
中間証明書をハードコーディングしたり固定したりすることは、運用上の負荷と可用性のリスクが生じるため、推奨されません。 let s Encrypt または Google トラスト サービスが固定された中間証明書をローテーションまたは置換すると、アプリケーションは接続に失敗し、停止時が発生する可能性があります。
証明書を固定する必要がある場合は、中間証明書ではなく証明機関の証明書に固定します。
Java ユーザー
let s Encryption の ISRG ルート証明書と Google トラスト サービスのルート証明書はどちらも、 u アップデート以降のJavaバージョン7 7391および u 以降のJavaバージョン8 8381のデフォルトの信頼ストアで利用できます。更新18 2023。 年 7 月 以降のJavaリリースを使用します。
Java クライアント ソフトウェアが最新であることを確認します。 最新の Java バージョンを使用して、 TLS証明書のこれらの新しい認証局要件に加えて多くの改善を活用します。
独自のトラスト ストアがある場合は、 let の暗号化と Google トラスト サービスの証明書をそれに追加します。詳しくは、「 MongoDB Atlas TLS 証明書に署名する認証局 」を参照してください。
Windows Server ユーザー
ISRG ルート X1 、GTS ルートR1 、GTS ルートR2 ルート認証局はWindows Server にデフォルトでは含まれていませんが、 Microsoft信頼ルート プログラムで利用できます。
信頼できるルート証明書をダウンロードするようにWindows Server を構成する方法について詳しくは、 Windowsドキュメント を参照してください。
Amazon Linux AMI ユーザー
Amazon Linux AMI の一部のバージョンには、ISRG ルート X1 と GTS ルートR1 およびR2 証明書の両方がない場合があります。必要なルート証明書については、 Amazon Linuxの新しいバージョンに移行してください。2025 以降は、証明書の互換性の問題を回避するために、1 12Atlas の ISRS ルート X 、GTS ルートR 、およびR 証明書のサポートが必要になります。
古いAmazon Linux AMI を使用する必要がある場合は、 ISRG ルート X 1 、 GTS ルートR 1、 R 2 ルート認証局を手動でインストールします。
他のすべてのユーザー
最新のプログラミング言語とオペレーティング システムのバージョンを使用している場合は、この変更は に影響しません。