セキュリティとキーチェーン統合

HarborDBセキュリティガイドへようこそ。この包括的なリソースは、HarborDBがmacOSのセキュリティ機能—特にキーチェーン—を活用して、データベース資格情報とデータを安全に保つ方法を説明します。ローカルの開発データベースを扱う場合でも、本番サーバーを扱う場合でも、これらのセキュリティ機能を理解することは、機密情報を保護するために不可欠です。

セキュリティが重要な理由

データベース接続にはしばしば機密情報が含まれます：

• PostgreSQLサーバーのユーザー名とパスワード
• ホスト名やポートを含む接続詳細
• 機密データを含む可能性があるクエリ結果
• ビジネス上重要な情報を含むエクスポートファイル

HarborDBはセキュリティを中核原則として設計されており、macOSのネイティブ技術を使用して、使いやすさを損なうことなくエンタープライズレベルの保護を提供します。

macOSキーチェーン：デジタルな金庫

キーチェーンとは？

キーチェーンはmacOSの組み込みパスワード管理システムです。macOSが以下を保存するデジタルな金庫と考えてください：

• アプリケーションやウェブサイトのパスワード
• 安全な通信のための暗号化キー
• 本人確認のための証明書
• 機密情報のためのセキュアメモ

キーチェーンがデータを保護する方法

1. 保存時の暗号化：すべてのキーチェーンデータはAES-256暗号化を使用して暗号化されます
2. アクセス制御：各アプリケーションはキーチェーン項目にアクセスするために許可を要求する必要があります
3. ユーザー分離：キーチェーン項目はユーザーアカウントに紐づけられます
4. 自動ロック：Macがスリープまたはロックされるとキーチェーンがロックされます

HarborDBとキーチェーン統合

自動パスワード保存

HarborDBで接続を保存するとき：

1. 接続設定からパスワードが抽出されます
2. ユーザーのキーチェーンに暗号化されて保存されます
3. 接続ファイルには機密でない情報のみが保存されます
4. 次回接続時、HarborDBはキーチェーンからパスワードを取得します

どこに何が保存されるか

| 保存場所 | 保存されるもの | セキュリティレベル | | ---------------------- | ---------------------------------- | ---------------------------- | | macOSキーチェーン | パスワードのみ | 🔒 最大（AES-256） | | 接続ファイル | ホスト、ポート、データベース、ユーザー名 | 🔐 中程度（ファイル権限） | | アプリケーションメモリ | セッション中の復号化されたパスワード | 🔐 高い（RAM暗号化） | | ディスクキャッシュ | クエリ結果、一時ファイル | 🔐 中程度（FileVault） |

キーチェーン項目の構造

各HarborDB接続は以下のキーチェーン項目を作成します：

• サービス名: HarborDB
• アカウント名: connection:[接続名]
• パスワード: 暗号化されたPostgreSQLパスワード
• アクセスグループ: HarborDBアプリケーションに限定

セキュリティのベストプラクティス

1. パスワード管理

推奨事項：

• ✅ 各データベースに強力で一意のパスワードを使用する
• ✅ パスワードを定期的に変更する（90日ごと）
• ✅ 追加のセキュリティのためにパスワードマネージャーを使用する
• ✅ 可能な場合は二要素認証を有効にする

非推奨事項：

• ❌ 異なるサーバー間でパスワードを再利用しない
• ❌ プレーンテキストファイルにパスワードを保存しない
• ❌ キーチェーンパスワードを他人と共有しない
• ❌ 単純なパスワードやデフォルトパスワードを使用しない

2. 接続セキュリティ

ローカルデータベース：

ホスト: localhost または 127.0.0.1
SSL: オプション（ループバックは安全）
キーチェーン: 推奨

開発サーバー：

ホスト: dev-db.internal
SSL: Prefer または Require
キーチェーン: 必須
ファイアウォール: 内部ネットワークに制限

本番サーバー：

ホスト: prod-db.example.com
SSL: Require または Verify-Full
キーチェーン: 必須
VPN: アクセスに推奨

3. ファイルセキュリティ

1. 接続ファイルを安全な場所に保存する
2. FileVaultを使用してフルディスク暗号化する
3. 定期的にキーチェーンをバックアップする（Time Machine経由）
4. 適切な権限でエクスポートフォルダを保護する

Touch IDと生体認証統合

HarborDBでのTouch IDの使用

MacにTouch ID（または新しいモデルのFace ID）がある場合、セキュリティを強化できます：

1. システム設定でキーチェーンのTouch IDを有効化
2. HarborDBはパスワードにアクセスする際に指紋を要求
3. 生体認証が失敗した場合はパスワードにフォールバック

生体認証の設定

1. システム設定 → Touch IDとパスワードを開く
2. 指紋を追加（最大3つ）
3. 使用リストで**「キーチェーン」**にチェック
4. 変更を有効にするためにHarborDBを再起動

生体認証統合の利点

• 利便性：マスターパスワードを入力する必要がない
• セキュリティ：あなたに固有（共有できない）
• 速度：パスワード入力より速い
• 監査証跡：各アクセスが一意に識別される

FileVaultとディスク暗号化

FileVaultとは？

FileVaultはmacOSのフルディスク暗号化機能です：

• 起動ディスク全体を暗号化
• 保存データを保護
• アプリケーションに対して透過的
• 一部のコンプライアンス標準で必須

FileVaultの有効化

1. システム設定 → プライバシーとセキュリティを開く
2. FileVaultをクリック
3. オンにするをクリック
4. 回復方法を選択（iCloudまたは回復キー）
5. 暗号化が完了するまで待つ（バックグラウンドプロセス）

FileVaultがHarborDBデータを保護する方法

FileVaultが有効な場合：

• 接続ファイルはディスク上で暗号化される
• エクスポートファイルは保護される
• 一時ファイルは回復できない
• キャッシュファイルはMacが盗まれても安全

ネットワークセキュリティ（SSL/TLS）

SSL/TLSの理解

SSL（Secure Sockets Layer）とTLS（Transport Layer Security）は転送中のデータを暗号化します：

HarborDB（macOS） → 暗号化トンネル → PostgreSQLサーバー

HarborDBでのSSLモード

| モード | セキュリティレベル | 使用例 | | --------------- | -------------- | ---------------------------- | | Disable | ❌ なし | ローカル開発のみ | | Allow | ⚠️ 低 | 非暗号化を優先 | | Prefer | ✅ 中程度 | ほとんどの場合のデフォルト | | Require | ✅ 高い | リモートサーバー | | Verify-CA | ✅✅ 高い | 証明書機関の検証 | | Verify-Full | ✅✅✅ 最高 | 完全な証明書検証 |

HarborDBでのSSL設定

1. HarborDBで接続を編集
2. ドロップダウンからSSLモードを選択
3. Verify-Fullを使用する場合は証明書をインポート
4. SSLハンドシェイクを確認するために接続をテスト

証明書管理

エンタープライズ環境の場合：

• キーチェーンアクセスでCA証明書をインポート
• 相互TLSにクライアント証明書を使用
• 証明書有効期限アラートを設定
• 失効した証明書を定期的に更新

一般的な問題のトラブルシューティング

キーチェーンアクセス問題

「HarborDBがキーチェーンにアクセスできません」

1. 権限を確認：

   # キーチェーンアクセスを開く
   open /Applications/Utilities/Keychain\ Access.app
   

2. HarborDB権限をリセット：

   • 接続を削除して再追加
   • プロンプトが表示されたら許可を付与

3. キーチェーンを修復：

   • キーチェーンアクセスを開く
   • 「ログイン」キーチェーンを選択
   • ファイル → 「キーチェーンファーストエイド」

「キーチェーンにパスワードが見つかりません」

1. 接続名が変更されていないことを確認
2. 複数のキーチェーンを確認（ログイン、システム、iCloud）
3. キーチェーンインデックスを再構築：

   security delete-keychain ~/Library/Keychains/login.keychain-db
   # 次回ログイン時に再作成されます
   

SSL接続問題

「SSLハンドシェイクに失敗しました」

1. PostgreSQL SSL設定を確認：

   # postgresql.conf内
   ssl = on
   ssl_cert_file = 'server.crt'
   ssl_key_file = 'server.key'
   

2. 証明書の有効性を確認：

   openssl x509 -in server.crt -text -noout
   

3. 異なるSSLモードを試す（Require → Prefer）

一般的なセキュリティ問題

「パーミッション拒否」エラー

1. ファイル権限を確認：

   ls -la ~/Library/Application\ Support/HarborDB/
   

2. HarborDB権限をリセット：

   • 環境設定ファイルを移動
   • HarborDBを再起動

3. ディスク権限を確認：

   diskutil verifyVolume /
   

高度なセキュリティ機能

カスタムキーチェーン設定

上級ユーザーの場合：

1. HarborDB用の専用キーチェーンを作成：

   security create-keychain -P harbor.keychain
   security set-keychain-settings harbor.keychain
   

2. 機密接続の短いタイムアウトを設定：

   security set-keychain-settings -t 300 harbor.keychain
   

3. 使用しないときはキーチェーンをロック：

   security lock-keychain harbor.keychain
   

監査と監視

1. 環境設定で接続ログを有効化

2. キーチェーンアクセスログを確認：

   log show --predicate 'subsystem == "com.apple.security"'
   

3. 失敗した接続のアラートを設定

4. エクスポートファイルアクセスログを定期的に確認

コンプライアンス考慮事項

GDPR/CCPAコンプライアンス：

• 保存時と転送中の個人データ暗号化
• アクセスログと監査証跡
• エクスポート用データ保持ポリシー

HIPAAコンプライアンス：

• フルディスク暗号化（FileVault）
• 非アクティブ接続のセッションタイムアウト
• 一時ファイルの安全な削除

PCI DSSコンプライアンス：

• クエリにクレジットカード番号を保存しない
• エクスポートで機密データをマスク
• 定期的なセキュリティ評価

セキュリティチェックリスト

日次プラクティス

• [ ] 離席時にMacをロックする
• [ ] 使用前に接続セキュリティを確認する
• [ ] macOSセキュリティ更新を確認する
• [ ] 最近の接続試行を確認する

週次プラクティス

• [ ] エクスポートファイルの場所を確認する
• [ ] キーチェーンの古いエントリを確認する
• [ ] FileVaultがアクティブであることを確認する
• [ ] セキュリティ設定をバックアップする

月次プラクティス

• [ ] データベースパスワードをローテーションする
• [ ] SSL証明書を確認する
• [ ] 接続権限を監査する
• [ ] 災害復旧手順をテストする

ヘルプの入手

セキュリティインシデント

セキュリティ問題を疑う場合：

1. 即時対応：

   • 影響を受けたデータベースパスワードを変更
   • 侵害された証明書を取り消し
   • 追加のログを有効化

2. 以下を含めてサポートに連絡：

   • インシデントの期間
   • 影響を受けた接続
   • エラーメッセージ
   • 既に取られた対策

セキュリティコンサルテーション

エンタープライズセキュリティニーズの場合：

• カスタムセキュリティ評価
• コンプライアンスガイダンス（GDPR、HIPAA、PCI DSS）
• 企業セキュリティシステムとの統合
• チームメンバー向けトレーニング

追加リソース

• Appleプラットフォームセキュリティガイド
• PostgreSQLセキュリティドキュメント
• HarborDBサポートガイド
• macOSセキュリティ機能

---

セキュリティは共有の責任です。macOSセキュリティ機能をHarborDBで理解し適切に使用することで、データ侵害や不正アクセスに対する堅牢な防御を構築できます。覚えておいてください：良いセキュリティプラクティスは、毎日データを保護する習慣になります。

最終更新日：{{current_date}}