MarkLogicの新しいウェブサイトは www.progress.com/marklogic です。それをご覧ください。
最もセキュアなNoSQLデータベース

認証済みセキュリティ

セキュリティは、データの整合性や信頼性にとって極めて重要なため、MarkLogicでは、現在のサーバー脅威から組織を守るために必要な認証済みのきめ細かなセキュリティを提供しています。MarkLogicは、他のNoSQLデータベースよりも高度なセキュリティ機能と認証により、最もセキュアなNoSQLデータベースと評価されています。大手投資銀行、主要な医療組織、機密情報を扱う政府システムのミッションクリティカルなアプリケーションをMarkLogicで実行している理由はここにあります。

認証済みセキュリティ
リスクを抑えて共有性を向上

 

コモンクライテリア認証を受けた唯一のNoSQLデータベース

ロゴ | コモンクライテリア

情報技術セキュリティ評価のためのコモンクライテリア(通称「コモンクライテリア」)は、セキュリティの国際標準です。この認証を受けることで、ベンダーは自分たちのセキュリティへのコミットメントと、お客様にセキュリティを提供する能力を証明できます。認証を取得するまでのプロセスは非常に厳格ですが、共通のプロセスです。このブログでは、認証のプロセスについて詳しく学習できます。認証を取得したベンダーは少なく、簡潔なリストに収まりますが、MarkLogicはこのリストに名を連ねる唯一のNoSQLデータベースです。

認証済みの製品のリストについては、コモンクライテリアポータルにアクセスし、「データベース」のセクションを展開しててみてください。MarkLogicがリストに記載されています。

その他の認証と監査

MarkLogicは、セキュリティポリシーの要求が厳しい政府機関のシステムに導入されて運用されています。これらのポリシーには、アクセス、ユーザー認証、管理、監査、ロールの分離、システム保証などに関する厳しい基準が含まれます。例:

  • NIACAP(National Information Assurance Certification and Accreditation Process) – 米国の情報機関によって開発された、米国の国家安全保障の情報を扱うコンピュータと電気通信システムの認証と認定
  • NIST Special Publication 800-37 – 連邦政府の情報システムにリスク管理フレームワークを適用するためのガイド。6ステップのリスク管理フレームワーク(RMF)をサポートします。

さらに、主要なシステムのセキュリティ基準のほぼすべてが含まれるMarkLogicを利用して、ATO(Authority to Operate)を取得しています。これらの基準は進化し続けており、MarkLogicは最新の変更にも対応しています(例えば、SSAE 18がまもなくSSAE 16に置き換わります)。システムセキュリティの基準は、現在はMarkLogicを実行するシステムに設定されており、以下のものがあります。

  • NIST 800-53
  • ICD 503
  • FIPS 140-2
  • HIPAA
  • SOX 302/404
  • FedRAMP
  • SSAE 16
  • EU 95/46/EC

MarkLogicのセキュリティの重要な側面

ロールベースのアクセス制御(RBAC)

MarkLogicでは、ドキュメントモデルを使用してデータを保存し、各ドキュメントは特定のロールや権限に基づいて管理されます。MarkLogicはデフォルトで、ロールベースのアクセス制御(RBAC)セキュリティモデルを採用しています。これは、各ユーザーに任意の数のロールが割り当てられ、そのロールが任意の数の権限や許可に対応付けられているというものです。権限では、ドキュメントの作成と機能の実行(URIおよび実行権限)が管理され、許可では、ドキュメントで実行できること(読み取り、挿入、更新、実行)が管理されます。セキュリティチェックにより、要求されたアクションの実行前に、ユーザーに必要とされる資格要件/クレデンシャルを確認します。セキュリティ情報は、MarkLogic内の専用のセキュリティデータベースに格納されます。

高度な暗号化により、システム監理者やストレージ管理者によるデータベースへの未許可のアクセスを防止します。これにより、AES-256暗号化を使用してファイルをディスク上に残しながら、データ、設定、ログを暗号化できます。これらはFIPS 140基準に準拠しています。セキュリティアドオンにより、外部鍵管理システム(KMS)を使用して暗号化を実行することもできます。

要素レベルのセキュリティ機能により、スキーマに関係なく、ドキュメント内のJSONプロパティまたはXML要素のレベルでアクセスを制御できます。ドキュメント内の他の情報にアクセスしながら、ユーザーのロールに基づいて、ドキュメント内の特定の情報を特定のユーザーから隠すこともできます。要素レベルのセキュリティは、リレーショナルデータベースの「セルレベル」のセキュリティと似ています。

MarkLogicでは、データベースアクティビティを綿密に監視し、ドキュメントへのアクセスや更新、構成の変更、管理アクション、コードの実行、アクセス制御の変更を監査できます。

MarkLogicでは、LDAP(Lightweight Directory Access Protocol)やKerberosによる外部認証もサポートしており、PKI(公開鍵基盤)の証明書ベースの強力な認証もサポートしています。

MarkLogicでは、ABAC(属性ベースのアクセス制御)、PBAC(ポリシーベースのアクセス制御)、LBAC(ラベルベースのアクセス制御)などのセキュリティモデルも採用しています。これらのモデルでは、属性(社会保障番号、IPアドレス、ユーザーの年齢、時間帯など)、ポリシー、信頼度を表す単純な「高」「低」のラベルに基づいて、さらにアクセスを制限します。

アドバンスセキュリティアドオン

MarkLogicでは、必要とされる業界標準のセキュリティを標準機能として提供しますが、次の3つの追加機能を備えたアドバンスセキュリティのオプションが必要になる場合もあります。

リダクション

リダクションでは、データを公開または共有する場合に、既存の情報を削除したり、他の値に置き換えることで、機密情報の漏洩を防ぎます。このプロセスはシンプルで柔軟性に優れ、大量のデータの処理に最適です。

KMS(外部鍵管理システム)のサポート

このオプションでは、外部KMS(SafeNetやVormetricなど)を使用して、高度な暗号化をサポートし、暗号鍵に対する懸念を分離し、格納を管理しやすくします。

コンパートメントセキュリティ

コンパートメントセキュリティにより、複雑なルールをドキュメントに適用することで、ドキュメントにアクセスしたり作成する場合に、該当のロールのをすべて持つようユーザーに義務付けることが可能です。これは、機密扱いの資料を扱う場合に便利です。

詳細はこちら

MarkLogicセキュリティについて

ホワイトペーパー

データセキュリティの最大の懸念はデータの統合時

データセキュリティは、組織の最優先事項であり、DevOpsとセキュリティの専門家が心配しなくてはならない戦術上の詳細事項は山のようにあります。一方で、CIO、アーキテクト、ビジネスリーダーは戦略レベルで何に注目すべきでしょうか?
ホワイトペーパー

セキュリティをMarkLogicに構築

MarkLogicのエンジニアリングチームがベストプラクティス、ツール、テクニックをどのように応用し、最もセキュアな製品を開発しているかについてご覧ください。
ホワイトペーパー

セキュアなアプリケーションをMarkLogicで開発する

このテクニカルホワイトペーパーでは、MarkLogicのセキュリティ機能について詳細に確認し、MarkLogicでのセキュリティアプリケーションの開発をサポートするMarkLogicセキュリティモデルについて考察します。
ホワイトペーパー

MarkLogicセキュリティの導入方法

MarkLogicは、既存の環境とシームレスに統合できるように設計されています。セキュアなインフラストラクチャとベストプラクティスを活用して、データベース自体をセキュアにし、ライフサイクル全体でデータを管理する場合に必要な機能を完備しています。
ビデオ

MarkLogic 9のセキュリティ機能

MarkLogicの新機能(高度な暗号化、要素レベルのセキュリティ、リダクション)の詳細をご覧ください。
ビデオ

MarkLogicセキュリティ(サンフランシスコ)

MarkLogic Worldのこのセッションでは、LDAPやKerberosと統合する方法など、大規模企業内でよく見られる厳格なセキュリティ基準を満たすためのMarkLogicセキュリティモデルの概要とMarkLogicの導入方法について説明します。