データベースの暗号化:今日の課題

データベースは慎重に扱うべき情報の宝庫と言えます。データベースには、顧客の個人データ、機密の競合情報、知的財産などが含まれていることがあります。データの喪失や盗難、特に顧客に関するデータの喪失や盗難は、ブランドの失墜、競争上の不利、多額の罰金などを招き、場合によっては訴訟になる恐れもあります。プライバシに関する今日の要求の多くは、保管されているデータの保護を求めています。データベースがデータの蓄積場所であることは明らかであり、さまざまなビジネスシステムやユーザがアクセスすることが潜在的に可能です。データを暗号化する場合は、アプリケーションレベル、データベースレベル、あるいはストレージレベルのいずれかを選ぶことができます。これらのレベルの中で最も低いレベルとなるストレージレベル、つまりディスクやテープレベルでの暗号化は、記憶媒体の紛失時のリスクを軽減しますが、悪意ある内部関係者やマルウェアに感染したシステムに対してはほとんど保護の効果がありません。これに対し、アプリケーションレベルの暗号化は最も高度な制御を実現するものであり、それによってストレージレベルとの対極をなす存在となりますが、必ずしも実行可能なアプローチとなるわけではありません。これらのトレードオフのために、多くの組織が、保管しているデータの保護に関して両方の方法の長所を提供するものとして、データベースの暗号化に目を向けるようになっています。保護効果はストレージレベルの暗号化よりも高く、アプリケーション層の大幅な変更を避けることもできます。

詳しくはこちら

過去においては、データベースに暗号化を追加すると、多くの場合はデータベーススキームの変更を招き、検索やインデックス作成などの、性能に敏感なタスクに悪影響を与える恐れがありました。しかし、今日では多くの商用データベースがネイティブの暗号化機能をサポートしており、簡単にこれを有効化して、真に透過的な保護を行うことができるようになっています。データベース暗号化が実行されている状態では、承認されたアプリケーションだけが復号データにアクセスでき、他のアプリケーションと管理者は暗号化されたデータしか見ることができません。これは、何らかのデータ漏洩が発生した場合でも、データは保護されたままであることを意味します。それでは、データベースの暗号化による保護を行う企業が増えないのはなぜなのでしょうか。これらの企業は、暗号化と、それに伴う暗号鍵の管理によるデータベースのアップグレードの必要性が生じること、クリティカルなビジネスプロセスの速度低下、さらには鍵が失われた場合にデータへのアクセスができなくなることを恐れているのです。

セクションを隠す

リスク

  • 細心の注意を払って専用の鍵管理システム内に鍵を隔離しない限り、悪意ある内部関係者やシステム管理者は、暗号化されたデータと暗号鍵の両方にアクセスしてクリアテキストデータを参照することができます。
  • 正規のアクセス権限を持つアプリケーションがマルウェアに感染してしまった場合も、秘密データへのアクセスが可能です。
  • 通常は、複数のデータベースインスタンスが同じ鍵にアクセスする必要があり、プロビジョニングと、鍵のローテーションを十分調整された形で行うために、必要となるコストが増大します。
  • 鍵を紛失した場合は、復号ができないのでデータが使用できなくなり、業務に支障をきたします。
  • 適切なチェックとバランスが設定されていない限り、広範なアクセス権限を持つスーパーユーザは、暗号化制御を無力化して役に立たなくしてしまう場合があります。

データベースの暗号化:Thales e-Securityソリューション

Thales e-Securityの製品とサービスは、暗号鍵の効果的な保護と管理を支援することによって、データベースの暗号化に新たなレベルの保証性を追加することができます。nShieldハードウェアセキュリティモジュール(HSM)を使用すれば、データベースのネイティブ暗号化機能を十分活用しながら、より高いレベルの保証性を鍵管理作業に追加して、最適なセキュリティと効率を実現するとともに、暗号化データへのアクセスを保証することができます。データベース自体とは別の保護された環境に暗号鍵を保存することによって、nShield HSMは、セキュリティスタッフとDBAの業務分離を実現します。DBMSが暗号化をネイティブでサポートしていない場合でも、タレスは、タレスの技術パートナのサードパーティ暗号化製品とHSMを組み込んだ保証性の高いデータベース暗号化ソリューションの導入を支援することができます。

利点:

  • ミッションクリティカルなマスタ暗号鍵の保存とバックアップを自動化することによって、承認ユーザによる暗号化データへのアクセスを保証します。
  • 実証済みのセキュリティ機能を備えた暗号化と鍵管理を通じて、データプライバシに関するコンプライアンス義務と報告作業を単純化し、クリティカルなベストプラクティスと、注意義務に関するその他の標準をシステムに対して強制します。
  • マスタ暗号鍵を暗号化データから隔離することによって業務の分離を実現し、内部からの攻撃の脅威を軽減します。
  • 業界をリードするタレスのSecurity World鍵管理アーキテクチャを使用して、大規模データベース環境での鍵管理に伴う管理コストを削減することにより、最大限の効率を実現します。
  • 信頼性に裏付けられた導入と、実装プロジェクトの加速を実現します。タレスのHSMは、最先端のデータベース管理システムと容易に統合化でき、たとえばOracleやMicrosoftの透過データ暗号化(Transparent Data Encryption)スイートとそのまま統合化できるのが特長です。