データを守る最後の防衛線、暗号化

f:id:PentaSecurity:20201204175645j:plain

 データの暗号化は他のITセキュリティ対策と少し異なります。アンチウイルス、WebファイアウォールWAF)、アカウント管理、アクセス管理などを考えてみたら、殆どが権限のない外部ユーザのITシステムへの侵入を検知したり、遮断することに集中している方法であることに気づきます。しかし暗号化の場合、データ自体を暗号化するため、外部人による原本データの特定が極めて難しいです。したがって、データを暗号化すると、たとえハッカーがデータにアクセスできてもデータ偽・変造や奪取が不可能です。このような観点からみると、データの暗号化はサイバー攻撃に向き合える最後の防御線とも言えるのです。

 

データを暗号化する3つの方法

データ暗号化とは、価値のあるデータが読み取れないように符号化形式に変換する行為を言います。ただし、どのようなシステム階層上で暗号化を実装するのかによってその方式が大きく変わってくるため、それぞれの暗号化方式について熟知する必要があります。

 

一般的にDB暗号化APIプラグイン、TDE方式の3つに分けられます。

 

f:id:PentaSecurity:20201208150356p:plain

  

API方式


API(Application Programming Interface)方式とは、DB上ではなくアプリケーション層でデータを暗号化する方式を言います。「暗号化を適用すればデータベースへの負担が大きくなる、もしくは処理速度の低下につながるのではないか」といった疑問を抱えるかもしれません。結論から言いますと、API方式はこのような懸念を解決することができます。アプリケーションサーバに設置したAPIを利用し暗号化を行い、DBMSの方にクエリーを転送する方式であるため、暗号化及び復号化の性能劣化を最小限に抑えることができます。

 

Plug-in方式


Plug-in(プラグイン)方式は、暗号化及び復号化のモジュールがDB上で実行される暗号化方式です。API方式と違って、アプリケーション領域とはお互い完全に独立しているため影響を与えません。また、全ての作業がGUI基盤で行われるため、管理の利便性が向上し、暗号化カラムに対する一致検索、範囲検索、インデックス支援に容易になります。また、元のテーブルと同じ名前を付けたビューを作成でき、オラクル・MS-SQLDB2などを使用している環境に適切なDB暗号化方式です。

 

TDE方式


TDE(Transparent Data Encryption、透過的暗号化)は DBカーネル層で暗号化されたテーブルスペースを生成し、当該スペースで暗号化対象の暗号化及び復号化をブロック単位で行います。DBカーネル層から暗号化を実装できるため、構築が容易でSQL文章の修正が不要というメリットがあり、比較的簡単な暗号化方式であるとも言えます。ソフトウェア基盤の暗号化モジュールがDBエンジンに直接設置されるため、アプリケーションの修正なくDB上でカラム、テーブルスペース単位の暗号化を行います。

 

さいごに

個人情報流出やデータ漏えい事件が後を絶たない状況の中、データの暗号化はサイバー攻撃の脅威から企業と組織の信頼を守るための最後の防御線だと言えます。どのような暗号化方式が適切なのかはそれぞれのビズネス環境とデータの価値、脅威のレベルによって違いますが、企業の立場からみると、 暗号化がシステムの性能劣化につながることも事実であるため、自社の環境を十分に考慮した上で導入する必要があります。システムの性能低下を最小化に抑えられながらも、多様なビズネス環境に最適化されている暗号化ソリューションを通じてデータをきちんと保護できる対策を備える必要があります。

 

ペンタセキュリティの暗号プラットフォーム「D’Amo」は多様な環境におけるIT階層に対応する暗号化ソリューションをご提供致します。また、鍵管理システム(KMS:Key Management System)・アクセス制御・暗号化の進行モニタリングなど、統合的なデータ暗号化機能を提供し、データ保護をための様々なコンプライアンスに対応します。
データセキュルティ対策として暗号化ソリューションが必要な方は、暗号プラットフォーム「D’Amo」の詳細情報をご覧ください。


ペンタセキュリティの暗号化ソリューション「D'Amo」の詳しい情報はこちら