設計段階からのセキュリティ：TiDB Cloudはデータ保護とコンプライアンスの簡素化をどのように実現するか

※このブログは2025年3月27日に公開された英語ブログ「Secure by Design: How TiDB Cloud Protects Your Data and Simplifies Compliance」の拙訳です。

セキュリティ対策が失敗した場合、その影響は技術的なものだけではありません。財政的、法的、そして評判に関わる問題となります。たった一度のデータベースの設定ミスで、1000万ドルもの罰金を被った企業もあります。TiDB Cloudはこのようなリスクを防ぎ、不必要な複雑さを伴わないエンタープライズグレードのセキュリティを提供します。

このブログでは、TiDB Cloudがどのようにデータを保護するのか、ServerlessおよびDedicatedのセキュリティ機能を比較し、MySQL互換の分散型データベースが最適な選択肢となる場合について説明します。

TiDB Cloudは、複雑さを排除しつつ、どのようにデータを安全に保つのか

5つの基本原則がTiDB Cloudのセキュリティを定義します：

• 厳格なアクセス制御 – データベースへのアクセスを許可されたユーザーのみに限定することで、過剰な権限によるセキュリティリスクを低減します。
• ネットワークセキュリティ – 未承認の接続を遮断し、ワークロードを分離することで、外部からの脅威を防ぎます。
• データの暗号化 – 機密データを、保存時および転送時の両方で常に暗号化することで、権限のないユーザーによる読み取りを不可能にします。
• 監査とモニタリング – すべてのアクセス試行、変更、および異常なアクティビティを追跡し、潜在的なセキュリティ問題を迅速に検出します。
• 業界コンプライアンス – SOC 2、ISO 27001、GDPR、HIPAAなどの規制基準を満たし、監査と法令遵守を簡素化します。

それでは詳しく解説します。

TiDB Cloudのセキュリティモデル： 顧客データの非公開と保護

PingCAPでは、お客様のデータ保護が最優先です。TiDB Cloudは、PingCAPがトラブルシューティングのためにお客様から明示的に許可された場合を除き、お客様のデータにアクセスしないように設計されています。PingCAPのセキュリティフレームワークは、お客様が自分の環境を完全にコントロールできることを保証し、同時に業界のセキュリティおよびコンプライアンス基準を満たすことを目的としています：

• アクセスガバナンスと監査 – TiDB Cloudのインフラストラクチャ上で行われたすべての管理操作は、セキュリティポリシーに準拠していることを確認するためにログが記録され、監視、レビューされます。監査ログは、SplunkやDatadogなどのセキュリティ情報およびイベント管理 (SIEM) ツールに転送され、リアルタイムで監視することも可能です。
• 規制遵守 – TiDB Cloudは、SOC 2 Type II、ISO 27001、GDPR、HIPAAの基準を満たしており、グローバルなデータ保護要件に適合しています。
• E暗号化とデータ隔離 – お客様のデータは、転送中および保存時に暗号化されます。また、TiDB Cloud DedicatedはCMEK (Customer-Managed Encryption Keys) をサポートしており、AWS KMS経由で暗号鍵を完全に管理することができます。
• ロールベースアクセス制御 (RBAC) およびネットワークセキュリティ– お客様は、アイデンティティとアクセス管理 (IAM) ロール、アクセスポリシー、ネットワーク設定を定義することができ、許可されたユーザーとシステムのみがデータにアクセスできるようにします。TiDB Cloudは、VPCピアリング、プライベートエンドポイント、IPアクセスリストをサポートし、データベースのトラフィックをインターネットから隔離します。
• データ保持とインシデント対応 – TiDB Cloudは、厳格なデータ保持ポリシーを実施しており、確立されたセキュリティインシデント対応プロセスに従って、潜在的な脅威を迅速に特定し、抑制、緩和します。

強力な暗号化、規制遵守、ネットワークセキュリティ、透過的なアクセス制御を組み合わせることで、TiDB Cloudはお客様のデータが常にプライベートで安全、かつお客様の管理下にあることを保証します。

誰がアクセスするか？IAMとデータベースセキュリティでアクセスを制限する

アクセス権を持つ人が多すぎることは、最も一般的なセキュリティリスクの1つです。TiDB Cloudは、ロールベースアクセス制御 (RBAC) に従って、ユーザーが必要な権限のみを持つようにすることで、このリスクを最小限に抑えます。

TiDB Cloudのアクセス管理方法

• シングルサインオン (SSO) – Google、GitHub、またはMicrosoftの認証情報を使用してログインできるようにすることで、認証を簡素化します。
• 細やかなロールベースアクセス制御 (RBAC) – ユーザーに必要最低限の権限を割り当て、不正な操作を防止します
• H階層型IAMロール – TiDB Cloudは、アクセスを2つのレベルで構成します：
  • 組織レベルのアクセス – オーナーと管理者は、グローバル設定、請求、プロジェクトの作成を管理できます。
  • プロジェクトレベルのアクセス – ユーザーにはプロジェクト固有の役割を割り当てることができ、環境全体を公開することなく特定のクラスタへのアクセスを制限できます。

データベースレベルのセキュリティ：認証と認可

IAMに加えて、各TiDBクラスタには独自の内部セキュリティ制御があり、TiDB Cloud Consoleにアクセスされても、データを操作するには有効なデータベース認証情報が必要となります。

• ユーザー認証 – TiDBはMySQL互換の認証を採用しており、以下のことが可能です：
  • 強力なパスワードポリシーでデータベースユーザーを作成します。
  • TLSベースの認証を有効にしてセキュリティを強化します。
  • LDAPなどの外部認証メカニズムのサポートをします。
• 細やかな認可制御 – TiDBは、各データベース内でのロールベースの権限管理をサポートしています：
  • 特定のテーブル、スキーマ、またはクエリタイプへのアクセスを制限。
  • ユーザーには職務に基づいて、読み取り専用、書き込み、または管理者権限を付与します。
• データベース監査 – TiDB Cloud Dedicatedでは、企業はユーザーのログイン、クエリの実行、スキーマの変更を追跡してコンプライアンスを維持できます。
  • 監査ログは、誰がいつどのデータにアクセスしたかを記録し、不正なデータの流出を防ぐ手助けとなります。
  • ログは、SIEMツールに転送して、リアルタイムでのセキュリティアラートを実施することもできます。

なぜこれが重要なのか

TiDB Cloud Dedicatedを使用している、ある金融サービス会社は、以下の方法でデータベースのセキュリティを強化しています：

• データベースユーザーに対する強力なパスワードポリシーを適用します。
• データベースの全権限ではなく、特定のデータセットのみへの開発者のアクセスを制限します。
• データベースの監査ログを設定し、顧客のクレジットカードデータにアクセスするすべてのクエリを監視します。
• SIEMとの統合により、異常なアクセスパターンや潜在的な内部脅威を検知します。

クラウドレベルでIAMベースのアクセス制御を実装し、データベース内部できめ細かなセキュリティを実現することで、TiDB Cloudは特権ユーザーであっても明示的に許可されない限り機密データにアクセスできないようにします。

サイバー脅威がデータベースに到達する前に阻止する

インターネットに公開されたデータベースは、サイバー攻撃の格好の招待状です。TiDB Cloudは、認可された接続のみがデータベースに到達できるよう、何重もの保護を提供しています。

TiDB Cloudが不正アクセスを防ぐ仕組み

• エンドツーエンド暗号化 – すべての転送データはTLS 1.2/1.3を使用して保護され、盗聴やデータの傍受を防止します。
• プライベートエンドポイント – AWS PrivateLinkまたはGoogle Cloud Private Service Connectを使用して、データベースのトラフィックがクラウドプロバイダーの内部ネットワークから出ることがないようにします。
• IPアクセスリスト – 許可されたIPアドレスのみがデータベースに接続できるように制限し、不正アクセスを防止します。
• VPCピアリング (Dedicated のみ) – データベースを顧客のVPCに直接接続し、インターネット上で公開されることを排除します。

導入事例

患者の記録を管理する医療系スタートアップは、HIPAA規制を遵守する必要があります。

• プライベートエンドポイントを設定し、社内のアプリケーションサーバーのみがデータベースと通信できるようにします。
• この設定により、外部からの脅威が遮断され、規制への準拠を簡素化することができます。

暗号化：最後の防衛ライン

データが暗号化されていなければ、どんなに強力なアクセス制御も回避される可能性があります。TiDB Cloudは、攻撃者がストレージに直接アクセスしても、データを読み取ることができないようにします。

TiDB Cloudがデータを保護する方法

• 保存時の暗号化 – すべての保存データは自動的に暗号化され、物理ディスクまたは仮想ディスクへのアクセスによって機密情報が漏洩することはありません。
• 転送時の暗号化 – すべてのデータベース接続はTLS 1.2/1.3を使用して保護され、盗聴や改竄を防ぎます。
• 顧客管理暗号化キー (CMEK：Bring Your Own Keys) – Dedicatedのみ – 一部の業界では暗号化キーを完全に管理する必要があります。TiDB Cloud Dedicatedでは、AWS KMSやGoogle Cloud KMSを使用して顧客が自分のキーを管理でき、許可されたユーザーのみがデータを復号化できるようにします。

なぜこれが重要なのか

複数の国で事業を展開しているグローバルなeコマース企業は、CMEKを使用して暗号化キーを内部で管理しています。

• これにより、法的な問題でアクセスの取り消しが必要な場合でも、クラウドプロバイダーが自社に代わってデータを復号化することができなくなります。
• また、データ主権に関する法律が厳しい地域の規制要件にも対応しています。

セキュリティリスクを災害になる前に察知する

セキュリティは単に攻撃を防ぐだけでなく、異常な活動を早期に発見して問題が拡大する前に対応することも重要です。TiDB Cloudは詳細な監査ログを提供し、組織が変更を追跡し、リアルタイムで異常を検出できるようにします。

TiDB Cloudがアクティビティを監視する方法

• クラウドコンソールログ – クラスタの変更、ユーザーロールの更新、APIアクションを追跡し、誰が環境に変更を加えているかを可視化します。
• データベース監査ログ (Dedicatedのみ) – クエリの実行、ログイン、スキーマの変更を記録し、データベースレベルでのセキュリティ監視を強化します。
• Loログの再編集 – 機密情報の偶発的な漏洩を防ぐため、TiDB Cloudはログの秘匿化をサポートしています。これにより、個人を特定できる情報 (PII) や機密データがシステムログに書き込まれないようになり、監視やデバッグ時に顧客のデータプライバシーが保護されます。
• SIEMツールとの統合 – 監査ログは、デフォルトで顧客管理のS3バケットに配信されます。そこから、組織は標準的なデータ取り込みパイプラインを使用して、DatadogやSplunkなどの好ましいのSIEMやログ分析ツールと統合することができます。

なぜこれが重要なのか

クレジットカードの機密データを扱う、ある金融サービス会社では、監査ログを次のように設定しています：

• 機密性の高い財務記録にアクセスするすべてのクエリをログに記録します。
• 異常なクエリーパターンや予期せぬログイン試行が発生した場合にアラートをトリガーします。
• Investigate potential fraud attempts in real time before damage occurs.

詳細な監査ログを使用することで、組織は疑わしい活動を早期に特定し、侵害が発生する前に対処することができます。

コンプライアンスを容易に：SOC 2、GDPR、HIPAAなどに対応

セキュリティは重要ですが、コンプライアンスは法的要件です。TiDB Cloudは主要な業界標準を満たしており、企業が追加の負担をかけずに規制遵守を達成できるよう支援します。

コンプライアンス基準	保証する内容	対象者
SOC 2 Type II	不正アクセスを防止し、運用セキュリティを確保	顧客データを扱うSaaS企業
ISO 27001 / 27701	セキュリティおよびプライバシー管理のフレームワークを提供	認証されたセキュリティプログラムが必要なグローバル企業
GDPR & CCPA	個人データのプライバシーを確保し、ユーザーが情報を管理できるようにする	ヨーロッパ (GDPR) またはカリフォルニア (CCPA) のユーザーデータを扱う企業
HIPAA	医療データを保護し、患者のプライバシーを確保	医療提供者、保険会社、医療記録を取り扱うベンダー
PCI-DSS	支払いカード情報と取引を保護	Eコマース企業、決済処理業者、金融サービス

なぜこれが重要なのか

ヨーロッパのユーザーデータを扱うB2B SaaSプラットフォームは、GDPR規制に準拠する必要があります。

• ゼロからコンプライアンスを構築するのではなく、TiDB CloudのISO 27701認証を活用して、安全なデータ処理の証明として利用します。
• これにより、時間とリソースを節約し、セキュリティインフラを追加することなくコンプライアンスを確保することができます。

この基準を満たすデータベースを選択することで、企業はコンプライアンス・リスクを減少させ、監査を簡素化することができます。

Serverless vs. Dedicated：どちらのTiDB Cloudオプションがより安全か？

TiDB Cloudには2つのデプロイオプションがあり、それぞれ異なるセキュリティ機能があります。ワークロード、コンプライアンス要件、セキュリティのニーズによって、適切な選択をします。

機能	Serverless	Dedicated	重要性
テナント分離	共有インフラストラクチャ	シングルテナント	Dedicatedはより強力な分離を提供し、マルチテナント環境でのリスクを軽減します。
プライベートエンドポイント	サポート対象	サポート対象	どちらのオプションも、データがパブリックインターネットを経由するのを防ぎます。
IPアクセスリスト	サポート対象	サポート対象	どちらのオプションも、企業がデータベースアクセスを特定のIPに制限することを可能にし、セキュリティの追加レイヤーを提供します。
VPCピアリング	利用不可	サポート対象	Dedicatedクラスタは顧客のVPCに直接接続でき、パブリックな公開を排除します。
データベース監査ログ	利用不可	サポート対象	監査ログは、不正なアクセス試行と変更の追跡に役立ちます。
保存時の暗号化	サポート対象	サポート対象	物理ストレージが侵害された場合、データが読み取り不可能であることを保証します。
保存時の暗号化のためのカスタム暗号化キー	利用不可	サポート対象	暗号化キーの完全な制御を必要とする組織は、Dedicatedクラスタが必要です。
RBACとIAM	サポート対象	サポート対象	組織全体およびプロジェクト内で最小特権アクセスを強制します。

Which TiDB Cloud Option is Right for You?

どのTiDB Cloudオプションが最適なのでしょう？
柔軟でメンテナンスが少ないデータベースが必要な場合は、TiDB Cloud Serverlessを選択してください：

• 開発、プロトタイピング、テスト環境。
• 高度なコンプライアンスやカスタムセキュリティ制御を必要としない、機密性の低いワークロード。
• 強力なデフォルトセキュリティ (トランジット/アットレストでの暗号化、IAM、RBAC、IP allowlists) を備えた自動スケーリングをお探しのチーム。

アプリケーションで以下が必要な場合は、TiDB Cloud Dedicatedを選択してください：

• シングルテナンシーとVPCピアリングによるワークロードとネットワークの強力な分離。
• 監査ログやBring-Your-Own-Encryptionキー (CMEK) などの高度なセキュリティ機能。
• HIPAA、ISO 27001、またはGDPRなどの規制フレームワークへの準拠。
• 細かいセキュリティ監視とSIEMツールとの統合。
• ユーザーアクセス、ロール、およびインフラストラクチャレベルのID管理の完全な制御。

これらのオプションは相互に排他的ではありません。多くのチームはServerlessから開始し、セキュリティ、コンプライアンス、および顧客ニーズの成長に合わせてDedicatedに移行しています。

実例

新しいSaaS製品を開発しているあるテックスタートアップは、迅速なプロトタイピングとテストのためにServerlessを選択しました。

• アプリケーションを構築している間、自動的なスケーリングと最小限の運用オーバーヘッドがメリットとなります。

企業顧客への拡大に伴い、Dedicatedに移行することで以下のことが可能になります：

• VPCピアリングとIPアクセスリストによる厳格なネットワークセキュリティを実施します。
• セキュリティ要件を満たすために、データベース監査ログを有効化し、アクセスの追跡を行います。
• 顧客データのセキュリティを維持するために、カスタム暗号化キー (CMEK) を使用して完全な制御を保ちます。

この移行により、企業の成長を妨げることなく、コンプライアンスとセキュリティが強化されます。

Self-Managed TiDBが最適な選択となるケース

企業によっては、セキュアなクラウド環境だけでは不十分な場合があります。セキュリティ、コンプライアンス、インフラに対する完全なコントロールが必要な場合、TiDBをオンプレミスまたはセルフマネージドクラウドで運用することが求められます。

企業がTiDB Self-Managedを選ぶ理由

• 規制遵守 – 政府機関や金融機関など、データをパブリッククラウドに保存することを禁止する厳格なポリシーを持つ業界もあります。暗号化や認証があっても、クラウドに保存することが許可されていない場合があります。
• カスタムセキュリティの統合 – LDAPやKerberosなどのカスタム認証方法や、ハードウェアセキュリティモジュール (HSM) を必要とする企業は、データベース環境に対する直接的なコントロールを求めることがよくあります。
• オンプレミスデータ主権 – 機密扱いの研究や、機密性の高い知的財産を扱う企業では、特定の地域内でデータを保存・処理する必要があります。

実例

機密情報を扱う防衛請負業者は、プライベートデータセンターにTiDB Self-Managedを導入することを選びました。

• このセットアップにより、データは管理された環境から外に出ることなく、政府の厳しい規制を満たすことができます。
• また、エアギャップのあるネットワークや政府認定の暗号化モジュールなど、特殊なセキュリティインフラとの統合も可能です。

専用のプライベートインフラでTiDBを運用することで、組織はセキュリティ、コンプライアンス、データガバナンスに対して完全に管理することができます。

データベースに最適なセキュリティ戦略の選択

TiDB Cloudは、不必要な複雑さを伴わずにエンタープライズグレードのセキュリティを実現します。セキュリティ、コンプライアンス、運用のニーズに応じて、適切な導入モデルをお選びください：

• TiDB Cloud Serverless – 開発、テスト、非センシティブなワークロードに最適で、最小限の設定で自動スケーリングが可能です。
• TiDB Cloud Dedicated – コンプライアンス重視の業種に最適で、高度なセキュリティ機能、プライベートネットワーク、暗号化制御を提供します
• TiDB Self-Managed – 政府機関、規制の厳しい業界、エアギャップ環境など、インフラを完全に制御する必要がある場合に必要です。

これからのステップは？

• 詳細なセキュリティ評価をご希望ですか？コンプライアンスニーズに合わせたセキュリティ相談を受けるために、私たちのチームにご連絡ください。
• TiDB Cloudのコンプライアンス認証を確認したいですか？最新のSOC 2、ISO 27001、またはHIPAAコンプライアンスレポートを今すぐリクエストしてください。
• TiDB Cloudのセキュリティ機能を試したいですか？無料トライアルにサインアップして、自信を持って構築を開始してください。

セキュリティを最初から優先させることで、組織はデータを保護し、コンプライアンスを簡素化し、パフォーマンスを損なうことなくリスクを低減することができます。