すべてのプロダクト
Search
ドキュメントセンター

Tablestore:データセキュリティ

最終更新日:Apr 11, 2026

Tablestore は、サーバー側暗号化とクライアント側暗号化を提供し、クラウド上のデータをセキュリティリスクから保護します。Tablestore は、ゾーン冗長ストレージ (ZRS) をサポートしており、高可用性とディザスタリカバリを保証します。Cloud Backup を使用して重要なデータをバックアップすることで、誤削除や悪意のある改ざんを防ぐことができます。さらに、Tablestore は V4 署名アルゴリズムを使用してアクセスキーペアを保護し、漏洩のリスクを低減します。

データ暗号化

保管時の暗号化

Tablestore は、保管時の暗号化をサポートしており、攻撃者によるデータベースのバイパスを防ぎます。詳細については、「データ暗号化」をご参照ください。

デフォルトでは、保管時の暗号化は無効になっています。この機能を有効にするには、[テーブルの作成] ダイアログボックスで [暗号化] スイッチをオンにし、暗号化タイプを選択します。

重要

一度有効にすると、保管時の暗号化は無効にできません。操作には十分ご注意ください。

Tablestore は、Key Management Service (KMS) キーに基づく暗号化と、Bring Your Own Key (BYOK) に基づく暗号化の 2 つの暗号化メソッドを提供します。どちらのメソッドでも、KMS から暗号鍵を取得する必要があります。

暗号化メソッド

利用方法

説明

KMS サービスキーを使用した暗号化

  • Tablestore コンソール

  • SDK

Tablestore は、KMS のデフォルトのサービスマネージドキーを使用してデータを暗号化し、データへのアクセス時に自動的に復号します。このメソッドを初めて使用すると、Tablestore は KMS にサービスマネージドキーを作成します。この機能は、別途 KMS インスタンスを購入しなくても利用できます。

カスタムキーを使用した暗号化 (Bring Your Own Key)

  • Tablestore コンソール

  • SDK

KMS コンソールで独自のキーマテリアルを使用してキーを作成すると、Tablestore はそのカスタムキーを使用してデータを暗号化します。これにより、暗号鍵を完全に制御できます。

転送時の暗号化

Tablestore は、Transport Layer Security (TLS) をサポートし、転送中のデータを暗号化します。Tablestore クライアントとサーバー間のすべての通信は、TLS を使用して暗号化されます。詳細については、「インスタンスアクセスのための TLS バージョンの制限」をご参照ください。

Tablestore では、カスタム RAM ポリシー、コントロールポリシー、およびその他のメソッドを使用して、アクセスに使用される TLS バージョンを制限できます。新しいバージョンの TLS ほど、より安全な暗号化アルゴリズムが使用されます。TLS 1.2 以降の使用を推奨します。詳細については、「カスタム RAM ポリシー」、「コントロールポリシーの例」、および「インスタンスポリシーの例」をご参照ください。

ディザスタリカバリ

Tablestore は、ローカル冗長ストレージ (LRS) とゾーン冗長ストレージ (ZRS) の 2 つのデータ冗長タイプを提供します。高可用性を実現するには、ZRS をサポートするリージョンを選択してください。詳細については、「ゾーン冗長ストレージ」をご参照ください。

LRS

LRS は、シングルゾーン冗長モデルを使用し、同一ゾーン内のデバイス間でデータを複製します。LRS は、ゾーン内のハードウェアデバイスに障害が発生した場合でも、データの耐久性とサービス可用性を確保するように設計されています。

説明

LRS は、単一のアベイラビリティゾーン内にデータを格納します。そのゾーンが利用できなくなったり、ゾーン内のすべてのハードウェアが同時に故障したりすると、データにアクセスできなくなります。

ZRS

ZRS は、マルチゾーン冗長モデルを使用し、同一リージョン内の複数のゾーン間でデータを複製します。あるゾーンが利用できなくなった場合でも、ZRS はデータへのアクセスを維持します。

ZRS は、データセンターレベルのディザスタリカバリを提供します。リージョン内のゾーンで障害が発生した場合、Tablestore は強整合性を維持します。フェールオーバープロセスはユーザーに対して透過的であり、サービスの中断やデータ損失は発生しません。これにより、目標復旧時間 (RTO) 0 と目標復旧時点 (RPO) 0 を達成し、ミッションクリティカルなシステムの厳しい要件を満たします。

データのバックアップと復元

Tablestore では、Cloud Backup を使用してデータのバックアップと復元ができます。データバックアップは、ディザスタリカバリ、誤削除や悪意のある改ざん後のデータ復元、データバージョニング、法的要件およびコンプライアンス要件、データ移行などに使用できます。詳細については、「バックアップと復元」をご参照ください。

説明

Cloud Backup は、Alibaba Cloud の統合ディザスタリカバリプラットフォームです。安全で信頼性の高いクラウドデータ管理サービスであり、ECS インスタンス、ECS データベース、ファイルシステム、NASOSSTablestore、およびオンプレミスのデータセンターにデプロイされたファイル、データベース、仮想マシン、大規模 NAS に対して、バックアップ、ディザスタリカバリ保護、ポリシーベースのアーカイブを提供します。詳細については、「Cloud Backup とは」をご参照ください。

誤削除や悪意のある改ざんなどの問題により重要なデータが利用できなくなるのを防ぐため、Tablestore のデータバックアップ機能を使用してインスタンス内のワイドカラムデータをバックアップし、データが失われたり破損したりした場合に迅速に復元できます。詳細については、「データバックアップ」、「データ復元」、および「バックアップ異常アラーム」をご参照ください。

アクセスキーペアのセキュリティ

Tablestore クライアントは、V4 署名アルゴリズムをサポートしており、アクセスキーペアから派生キーを生成します。クライアントは、この派生キーを使用してリクエストを開始します。Tablestore サーバーがリクエストを受信すると、派生キーを使用してユーザーを認証します。これにより、認証中にアクセスキーペアが送信されるのを防ぎ、キー漏洩のリスクを低減します。詳細については、「アクセスキーペアのセキュリティ」をご参照ください。