トラストセンター
データセキュリティの確保は、OceanBaseの最優先事項です。OceanBaseは、エンタープライズレベルのセキュリティプロトコル、専任のSREチーム、継続的なサードパーティ監査によって、お客様の重要なワークロードを保護します。業界の包括的な認証を維持することで、データの安全性、コンプライアンス、高可用性を確保します。
セキュリティ機能
本人認証
OceanBaseは包括的な本人認証メカニズムをサポートしており、充実したパスワード複雑性ポリシーやログイン失敗時の処理ポリシーを備えています。
アクセス制御
完全なロール管理・権限管理ポリシーをサポートし、ネットワークアローリスト機能なども提供しています。
通信暗号化
OceanBaseコンポーネント間、および顧客アプリケーションとOceanBaseデータベース間の通信は、暗号化伝送をサポートしています。
ストレージ暗号化
透過的データ暗号化(TDE)をサポートしており、データをディスクに保存する際に自動的に暗号化し、読み取り時には自動的に復号化します。
診断と監査
包括的なSQL診断機能をサポートし、Top SQL、Slow SQL、不審なSQL、高リスクSQLを確認できます。また、SQL実行記録を長期間保存できるSQL監査機能もサポートしています。
取り組み
サイバーセキュリティ
OceanBaseは、ネットワーク境界管理、ホスト保護、脆弱性スキャン、侵入テスト、セキュリティインシデント発生後の緊急対応など、ネットワークセキュリティの運営・管理を担う専門のセキュリティチームを有しています。
データセキュリティ
データ保護のライフサイクル全体を網羅する包括的なプロセス体系を構築。物理・システム・データの各レイヤーにおいて、高度な技術的手段を用いた確かなセキュリティを確保しています。
個人データの収集
データ最小化の原則に基づき、必要最低限の個人データのみを収集・利用し、厳重な管理体制のもとで安全に保管します。また、ユーザーはいつでも自身のデータの削除を請求することが可能です。
従業員のセキュリティ教育
OceanBaseでは、採用時に従業員のバックグラウンドチェックを実施するとともに、顧客対応業務に携わる全従業員に対し、継続的なセキュリティ研修の受講を義務付けています。
データ処理補足契約
OceanBase クラウドサービスをご購入いただく前に、顧客はデータ処理補足契約に署名する必要があります。この契約では、顧客がデータベースにアップロードした個人データの処理に関する責任分担を定めています。データの管理者として、顧客は自らのデータ処理、データ保管、データ配布が適用法令を遵守していることを確認する必要があります。
可用性
サービスレベルアグリーメント(SLA)
各種高可用性機能の構築により、OceanBase クラウドサービスは99.99%以上のSLAを保証しています。詳細については、サービスレベル契約をご参照ください。
マルチクラウド展開
単一クラウドベンダーの障害がサービス可用性に影響しないよう、OceanBase クラウドサービスはマルチクラウド展開をサポートしています。現在、AWS、GCPなど、業界の主要クラウドベンダーに対応しています。
マルチレプリカ展開
OceanBase クラウドサービスはマルチレプリカ展開を採用し、Paxosプロトコルによって複数レプリカ間のログデータを同期します。プライマリレプリカが利用不能になった場合、セカンダリレプリカが自律的にプライマリの選出を行います。複数レプリカをデータセンター(アベイラビリティゾーン)をまたいで展開することで、単一データセンターの障害による影響を回避できます。
アクティブ/スタンバイクラスター
OceanBase クラウドサービスは、リージョンをまたいだプライマリ/スタンバイクラスターの構築に対応しています。万が一、プライマリリージョンが利用不能になった場合でも、スタンバイ側のクラスターへ切り替えることでサービスを継続し、遠隔地でのディザスタリカバリを実現します。
コンプライアンス
OceanBaseは、EUクラウド行動規範(EU Cloud CoC)への準拠プロセスを正式に完了しました。今回の準拠は、OceanBaseクラウドサービスがGDPRのコンプライアンス要件を厳格に満たしていることを、高い透明性をもって実証するという当社のコミットメントを裏付けるものです。
U Cloud CoCは、クラウドプロバイダーがGDPRへの準拠を実証し、標準化・透明性・アカウンタビリティ(説明責任)を促進するための包括的なフレームワークです。欧州データ保護委員会(EDPB)の承認を受けたこの規範は、個人データ保護やリスク評価の支援、さらには業界横断的なコンプライアンスの平準化において、極めて信頼性の高い基準となっています。
本規範に準拠するためには、独立した認定監視機関による厳格な審査に合格しなければなりません。今回の準拠は、安全で信頼性の高いクラウドサービスを提供するとともに、透明性、一貫性、そして法的確実性をユーザーに保証するという、OceanBaseの揺るぎない姿勢を裏付けるものです。
OceanBaseの準拠状況の詳細については、EU Cloud CoC公開レジストリにアクセスし、公開レポートをダウンロードしてください。
ISO27001は、情報セキュリティマネジメントシステム(ISMS)の構築・実施に関するベストプラクティスを規定しています。
OceanBaseは、物理セキュリティ、ネットワークセキュリティ、データセキュリティの管理体制を整備し、英国規格協会(BSI)による情報セキュリティマネジメントシステムの審査を受け、認証を取得しました。
ISO27701は、プライバシーデータ保護のためのマネジメントシステムであり、プライバシー情報マネジメントシステム(PIMS)の構築・実施・維持・継続的改善のガイドです。
データ管理者として、OceanBaseは個人データの収集・利用・保管において適用法令を遵守しています。データ処理者として、OceanBaseは顧客が個人データを処理するための技術的サポートを提供します。OceanBaseは顧客の個人データのセキュリティを強化する一連のセキュリティ機能を提供し、データ処理補足契約によってデータ処理に関するOceanBaseと顧客の責任を明確化しています。英国規格協会(BSI)によるプライバシー情報マネジメントシステムの審査を受け、認証を取得しました。
ISO27018は、パブリッククラウド環境における個人データ処理者が個人データを保護するためのベストプラクティスを提供します。
OceanBaseのパブリッククラウドサービスは多くの顧客にデータベースサービスを提供しています。顧客の個人データのセキュリティを守るため、OceanBaseは一連の制度を整備し、専任のSREチームおよびセキュリティチームを設置しました。英国規格協会(BSI)によるパブリッククラウド個人情報保護マネジメントシステムの審査を受け、認証を取得しました。
ISO9001認証は、世界的に認められた品質マネジメントシステム(QMS)です。ISO9001は、企業が顧客に継続的に高品質な製品・サービスを提供し、日常の管理が法令・規制要件を遵守することを支援する完全なフレームワークと方法論を提供します。
OceanBaseは、製品・サービスの一貫性を確保するための品質マネジメントシステム(QMS)を導入し、CEPREIによる品質マネジメントシステムの審査を受け、認証を取得しました。
ISO20000はITサービスマネジメントシステム(ITSM)です。「ITサービスの標準化」によってIT課題を管理し、サービスレベル契約(SLA)に基づいてサービス計画を策定し、その実施状況を監視します。
OceanBaseは、L1〜L3レベルのアフターサービス体系を提供し、顧客に24時間365日の継続的なサービスを提供します。年2回の顧客満足度調査を実施し、調査結果に基づいて継続的な改善を行っています。CEPREIによるサービスマネジメントシステムの審査を受け、認証を取得しました。
ISO22301のマネジメントシステムフレームワークは、企業が統合マネジメントプロセスを構築し、潜在的な災害を特定・分析し、それらの脅威を防止または軽減するための効果的なマネジメント機構を提供します。
OceanBaseは毎年事業継続リスク評価を実施し、特定された重要リスクに対して緊急対応計画を策定します。また、緊急対応計画に基づく定期的な訓練を行っています。CEPREIによる事業継続マネジメントシステムの審査を受け、認証を取得しました。
SOCは米国公認会計士協会(AICPA)が策定し、セキュリティ、可用性、機密性、整合性、プライバシーの5つの側面を対象とします。サービスプロバイダーがデータを安全に管理し、ユーザーのプライバシーと利益を保護することを目的としています。
OceanBaseは毎年、アーンスト・アンド・ヤングをサードパーティとして招き、コーポレートガバナンス、セキュリティ能力、運用・保守プロセスを監査し、OceanBase クラウドサービスのセキュリティ・可用性・機密性に関するSOC Type IIレポートを提供しています。
PCI DSSは、PCIセキュリティスタンダーズカウンシルが策定した情報セキュリティ基準であり、カード会員データの送信・保管・処理を行う企業に適用されます。
OceanBaseは毎年Atsecをサードパーティ機関として招き、セキュリティガバナンスを監査しています。監査の結果、OceanBase クラウドサービスがPCI DSS基準に準拠していることが確認され、PCI DSS認定サービスプロバイダーとなりました。PCI DSS認証の取得を検討されている場合、OceanBase クラウドデータベースサービスをご利用後にOceanBase クラウドデータベースのAOCレポートをQualified Security Assessorに提出することで、データベーステストを簡略化できます。