Queryable Encryption
はじめに
Queryable Encryption を使用すると、次のタスクを実行できるようになります。
クライアント側からの機密データフィールドの暗号化。
機密データフィールドを、完全にランダム化され暗号化されたデータとしてデータベースサーバー側に保存します。
暗号化されたデータに対する表現クエリの実行。
これらのタスクはすべて、処理されるデータの情報をサーバーに送信することなく完了します。
機密データは、転送中、保存中、使用中、ログ、バックアップなどのライフサイクル全体にわたって暗号化されます。暗号化のキーにアクセスできるのはユーザーだけであるため、復号はクライアント側のみで実行されます。
Queryable Encryption は、暗号化検索のパイオニアによって開発された、業界初の高速かつ検索可能な暗号化スキームを導入しています。 この機能は等価検索と範囲検索をサポートしており、今後のリリースでは、プレフィックス、サフィックス、サブストリングなどのクエリタイプが追加される予定です。
次のメカニズムを使用して、Queryable Encryption を設定できます。
自動暗号化: フィールドを暗号化する方法を指定するためのコードを記述しなくても、暗号化された読み取りおよび書込み操作を実行できます。
明示的な暗号化: MongoDB ドライバーの暗号化ライブラリを使用して、暗号化された読み取りおよび書込み操作を実行できます。アプリケーション全体でこのライブラリを使用して暗号化のロジックを指定する必要があります。
Considerations
Queryable Encryption を使用するアプリケーションを実装するときは、「セキュリティに関する考慮事項」に記載される注意事項に留意してください。
その他の制限については、「 Queryable Encryption の制限 」を参照してください。
互換性
次の表は、どの MongoDB Server がどの Queryable Encryption メカニズムをサポートしているかを示しています。
製品名 | 自動暗号化をサポート | 明示的な暗号化をサポート |
|---|---|---|
MongoDB Atlas | Yes | Yes |
MongoDB Enterprise Advanced | Yes | Yes |
MongoDB Community Edition | No | Yes |
クエリ可能な暗号化をサポートする MongoDB ドライバーについては、「Queryable Encryption の互換性」を参照してください。
MongoDB サポートの制限
コレクションで Queryable Encryption を有効にすると、一部の診断コマンドのフィールドが編集され、クエリ ログから一部の操作が省略されます。これにより、特にクエリのパフォーマンスを分析する際、MongoDBサポートエンジニアが利用できるデータが制限されます。暗号化されたコレクションに対する操作の影響を測定するには、サードパーティのアプリケーションパフォーマンス監視ツールを使用してメトリクスを収集します。
詳しくは、「リダクション」を参照してください。
主な機能
アプリケーションに対する Queryable Encryption のセキュリティ上の利点について詳しくは、「機能」ページを参照してください。
インストール
Queryable Encryption を使用するために必要なインストールについては、「 Queryable Encryption 互換ドライバーのインストール 」および「 Queryable Encryption ライブラリのインストールと構成」ページを参照してください。
クイック スタート
Queryable Encryption の使用を開始するには、「クイック スタート」を参照してください。
Fundamentals
暗号化のキー管理の詳細については、「暗号化のキーとキー ボールト 」を参照してください。
Queryable Encryptionの仕組みについては、「基礎」セクションを参照してください。このセクションには次のページが含まれています。
Tutorials
Queryable Encryption を使用して特定のタスクを実行する方法については、「チュートリアル」のセクションを参照してください。
参照
Queryable Encryption 対応アプリケーションの開発に役立つ情報を表示するには、「リファレンス」セクションを参照してください。
「リファレンス」セクションには、次のページが含まれています。