保管時の暗号化

暗号化プロセス

暗号化が有効になっている場合、MongoDB Enterprise が使用するデフォルトの暗号化モードは、OpenSSL 経由の AES256-CBC（または暗号ブロックモードの 256 ビット AES（Advanced Encryption Standard））です。AES-256 は対称キーで、テキストの暗号化と復号化で同じキーを使用します。MongoDB Enterprise for Linux は、認証された暗号化 AES256-GCM（または Galois/Counter モードの 256 ビット Advanced Encryption Standard）もサポートしています。

暗号化ストレージエンジンは、基礎のオペレーティングシステムの認定暗号プロバイダーを使用して暗号化操作を実行します。たとえば、Linux オペレーティングシステム上に MongoDB をインストールしている場合は、OpenSSL libcrypto FIPS-140 モジュールが使用されます。

MongoDB を FIPS 準拠モードで実行するには、次のようにします。

1. オペレーティングシステムを FIPS 強制モードで実行するように構成します。

2. MongoDB を構成して、net.tls.FIPSMode 設定を有効にします。

3. mongod または mongos を再起動します。

4. サーバーのログファイルをチェックして、FIPS モードが有効になっていることを確認します。FIPS モードが有効になっている場合は、ログファイルに FIPS 140-2 mode activated というメッセージが表示されます。

詳細については、「MongoDB を FIPS 用に設定」を参照してください。

データ暗号化プロセスには、次のものが含まれます。

• マスターキーの生成。

• 各データベースのキーの生成。

• データベースキーを使用したデータの暗号化。

• マスターキーを使用したデータベースキーの暗号化

暗号化はストレージ層で透過的に行われます。つまり、すべてのデータファイルはファイルシステムの観点から完全に暗号化され、データはメモリ内および転送中にのみ暗号化されていない状態で存在します。

MongoDB のネットワークトラフィックをすべて暗号化するには、TLS/SSL（Transport Layer Security/Secure Sockets Layer）を使用できます。「TLS/SSL 用の mongod と mongos 構成およびクライアント用の TLS/SSL 構成」を参照してください。

キー マネジメント

データベースキーはサーバー内部にあり、暗号化された形式でのみディスクにページングされます。MongoDB はいかなる状況でもマスターキーをディスクにページングすることはありません。

マスターキーのみがサーバーの外部にあります（つまり、データキーやデータベースキーとは別に保持されます）ので、外部での管理が必要になります。マスターキーを管理するために、MongoDB の暗号化されたストレージエンジンでは2つのキーマネジメントのオプションをサポートしています。

• KMIP（Key Management Interoperability Protocol）を介してサードパーティのキーマネジメント機器と統合します。推奨

  注意

  KMIP を使用してサードパーティのマネジメント機器を統合する場合、次の KMIP 操作を許可する必要があります。

  • 作成（operation_create）

  • 取得（operation_get）

  • アクティブ化（operation_activate）

• キーファイル経由でローカルキー マネジメント。

MongoDB を暗号化用に構成し、2 つのキー管理オプションのいずれかを使用するには、「暗号化の構成」を参照してください。

暗号化とレプリケーション

暗号化はレプリケーションの一部ではありません。

• マスターキーとデータベースキーは複製されず、

• データはネットワーク上でネイティブに暗号化されません。

ノードに同じキーを再利用することもできますが、MongoDB では、トランスポート暗号化を使用するだけでなく、ノードごとに個別のキーを使用することを推奨しています。

詳細については、「暗号化キーのローテーション」を参照してください。

監査ログ

MongoDB Enterprise でのみ使用できます。