データ暗号化プラットフォーム「D’Amo(ディアモ)」

D'Amo(ディアモ)は、ペンタセキュリティが2004年に韓国で初めて発売したデータ暗号化に特化したソリューションです。デジタル社会が徐々に浸透するにつれて、個人情報など各種データ保護の重要性がますます浮き彫りになり、データ保護のために必要なさまざまな技術的措置の中でも、暗号化は技術的な安定性の面で最も重要かつ根源的な方法です。

 

D'AmoはCyberSecurity Excellence Awardsにおいて、データベースセキュリティ部門で製品の優秀性を認められ、金賞を受賞しています。データ暗号化ソリューションの導入を検討している企業は、D'Amoを通じてデータ保護のための技術要件を満たし、韓国や日本の個人情報保護法をはじめ、EUのGDPRなどの各種コンプライアンスに対応します。

D’Amoは API、PLUG-IN方式など多様な暗号化方式を駆使して、早い時期に韓国のDB暗号化文化を形成してきました。企業のシステム環境に応じて、ITシステムを階層別に区分し、各階層に適した暗号化方式を提供する暗号化プラットフォームを提供しています。

 

メリット

力なセキュリティテクノロジの統合適用で安全性確保

韓国の公式セキュリティ認証を取得した暗号化モジュールを使用して安全性を確保し、高度暗号化標準(Advanced Encryption Standard(AES)、TDESなどの国際標準アルゴリズムだけでなく、ARIA、SEEDなどの多様な暗号化アルゴリズムをサポートし、各種コンプライアンス要求を安全に遵守することができます。

カラム位の暗

DB内の主要データをカラム単位で暗号化し、暗号化が必要とされる重要な情報のみを暗号化します。 これにより、暗号化後の性能確保および暗号化後のメンテナンスの効率を高めることができます。

 

細分化されたアクセス制御機能

暗号化適用後、アクセス制御機能設定を通じて非認可ユーザーの暗号化データへのアクセスを防止しており、ユーザー別、IP別、またはプロセス(プログラム)アクセス制御を通じてさまざまな環境でのアクセス制御項目の多様な選択肢を提供しています。

 

統合暗鍵管理システム

暗号鍵を3重に分離して厳密に管理しており、PKIベースの暗号鍵とパスワードを一緒に使用してセキュリティ性を高めています。 特に、暗号鍵に対して独自開発した専用暗号鍵管理システムであるSG-KMSを別途設置すれば、さまざまな外部脅威から暗号鍵を安全に管理できます。

 

認証と特許による信性の高い製品

韓国の国家検証の認可済み暗号モジュールを搭載し、インデックスカラム暗号化、特性維持暗号化、データベースエンジンを利用したデータ暗号化方式など、暗号化に関する国内外のさまざまな特許を保有しています。

 

製品構成

モジュル名

機能

サポ DBMS

D’Amo

DP

(Package Encryption)

  • DBサーバーに設置され、暗号化を実行
  • カラム単位の暗号化とカラム単位のアクセス制御機能を実装
  • 使用中の業務アプリケーションを修正することなく、暗号化適用を可能にする透過型暗号化
  • Oracle
  • MS-SQL Server

BA

(API Encryption)

  • アプリケーション、WASサーバーで暗号化を実行
  • アプリケーション、WASサーバーとDBMSサーバー間のデータ転送時に暗号化転送をサポート
  • DBMSに依存しない暗号化が可能であり、さまざまな開発言語をサポート
  • すべてのDBMS

DE

(Engine Encryption)

  • DBエンジン内部で暗号化を実行
  • カラム単位の暗号化とカラム単位のアクセス制御機能を実行
  • 暗号化適用時、既存アプリケーションの修正不要な透過型暗号化
  • MariaDB、MySQL

KE

(Kernel Encryption)

  • Windows OS専用暗号化で、OSカーネルでファイル単位の暗号化を実行
  • OSカーネルレベルの暗号化で、暗号化適用時、既存アプリケーションの修正が不要で高い性能を保証
  • プロセス(プログラム)アクセス制御機能でランサムウェア攻撃に対応可能
  • すべてのDBMS

SG-KMS

(Key Management System)

  • D'Amoと連動してすべての暗号鍵の統合管理機能を提供
  • 暗号鍵に対する多様なアクセス制御で外部流出を遮断
  • 国際標準規格に準拠して暗号鍵のライフサイクルを管理

-

暗号化方式別に提供するD'Amoモジュールの種類

DP (Package Encryption)

D'Amo DPは、OracleとMS-SQL Serverのデータベース基盤に特化しており、DBサーバー環境への追加インストールパッケージの形で設置され、暗号化だけでなく、アクセス制御、監査記録、権限分離などの機能を通じて統合DBセキュリティを提供する製品です。

 

機能と特

  • 化修正が不要なView-Trigger暗化モドと性能最適化API暗化モド機能を提供
    : ユーザー環境や性能、サポート環境に応じて2つの暗号化モードをサポートします。
  • カラム位の暗
    : 暗号化ポリシーによる効率的な暗号化アルゴリズム、動作モード、部分暗号化などの設定が可能で、必要なデータのみを暗号化して性能低下を最小化し、セキュリティを確保します。
  • 化カラム位のアクセス制御
    : DBアカウント/IP/MAC/Application/時間/曜日別のアクセス制御を提供します。
  • 化カラムのインデックス索が可能
    : インデックスカラムに対する暗号化時、既存の環境のままインデックス検索が可能です (一致検索、範囲検索)。
  • 管理ツルを通じたデタ暗化マイグレション機能サポ
    : 暗号化適用時、既存のテーブルに存在するデータに対する一括暗号化機能をサポートします。ユーザーは、管理ツールを通じて既存のテーブルに存在する大量のデータを一括で暗号化適用が可能です。
  • 段階的な暗化処理と反映
    : 別途コピーテーブルで暗号化適用後、サービステーブルに切り替えてサービス中断を最小限に抑えます。
  • 力な暗鍵管理
    : 外部の安全な空間にて暗号鍵を管理するためには、冗長化機能をサポートする専用暗号鍵管理システムSG-KMSとの連動が可能です。SG-KMS連動時、暗号鍵は暗号化データサーバーとは異なる場所で、強力な認証およびアクセス制御機能を通じて安全に管理されます。

BA (API Encryption)

D'Amo BAは、暗号化APIをアプリケーションサーバー、WASサーバーにインストールして暗号化後、暗号化されたデータ自体をDBMSに転送する方式で、暗号化実行時、DBサーバーの性能負荷がなく、アプリケーションサーバー、WASサーバーで暗号化することで、性能の最適化およびさまざまなOS及びデータベース管理システムに対応できるなど、優れた互換性を持っています。

 

機能と特徴

  • タベス管理システムの負荷分散
    : 暗号化をアプリケーションサーバー、WASサーバーで行うため、暗号化対象DBサーバーに負荷がなく、比較的負荷が少ない多重化されたアプリケーションサーバー、WASサーバーで暗号化し、性能最適化及び分散処理が可能です。
  • 高い性能とネットワ間の安定性を確保
    : DBサーバー内部ではなく、アプリケーションサーバー、WASサーバーでデータを暗号化した後、DBサーバーに暗号化データを転送することで、アプリケーション、WASサーバーとDBサーバー間の転送区間で暗号化されたデータを転送することで、データ転送時の安全性も確保します。
  • 多様な環境をサポート(柔軟性と拡張性)
    : 多様なアプリケーション開発環境をサポート(C、Javaなど)およびあらゆる種類のDBMSをサポートします (Oracle、MS-SQL Server、DB2など) 。また、多様な関数とライブラリによる開発者環境を提供し、開発者の利便性を最大化します。
  • 力な暗鍵管理
    : 外部の異なる安全な空間で暗号鍵を管理できるように、冗長化機能をサポートする専用暗号鍵管理システムであるSG-KMS連動が可能です。SG-KMS連動時、暗号鍵は暗号化データとは別の安全な場所で強力な認証およびアクセス制御機能を通じて安全に管理されます。

DE (Engine Encryption)

D'Amo DEは、MySQL、MariaDB専用の暗号化方式で、DBエンジンを暗号化エンジンに置き換えてDBMSエンジン内部で暗号化を行う方式です。エンジン内部で暗号化を実行するため、既存のアプリケーションの修正が不要で、すでに構築されて稼働中の業務環境に簡単に適用できるのが特徴です。

 

機能と特徴

  • DBMSエンジン部で行する暗
    : DBMSエンジンを暗号化エンジンに置き換えて、エンジン内部で暗号化を行います。これにより、暗号化適用時に使用中の既存環境の修正が必要ない完全なアプリケーション独立性を保証します。
  • カラム単位の暗号化
    : 暗号化ポリシーによる効率的な暗号化アルゴリズム、動作モード、部分暗号化などの設定が可能で、必要なデータのみを暗号化して性能低下を最小化し、セキュリティを確保します。
  • 限分離およびDBユー単位アクセス制御機能
    : 暗号化カラム単位およびDBアカウント別に権限設定を通じたアクセス制御機能をサポートします。DBアカウントだけでなく、IP単位のアクセス制御もサポートし、外部攻撃やデータベース管理者によるデータ流出を効果的に防ぐことができます。
  • 力な暗鍵管理
    : 外部の異なる安全な空間で暗号鍵を管理できるように、冗長化機能をサポートする専用暗号鍵管理システムであるSG-KMS連動が可能です。SG-KMS連動時、暗号鍵は暗号化データとは別の安全な場所で強力な認証およびアクセス制御機能を通じて安全に管理されます。

KE (Kernel Encryption)

D'Amo KEは、Windows専用暗号化方式で、ファイル単位でOSカーネルレベルで暗号化を行います。 ファイル暗号化に加え、プロセス(プログラム)単位のアクセス制御をサポートし、ランサムウェア、マルウェアなどの外部攻撃による暗号化ファイルの被害を根源的に遮断することができます。

 

機能と特徴

  • OSカーネル内部で実行するファイル単位の暗号化
    : Windows OSカーネルレベルで暗号化を行うトランスペアレント暗号化機能を提供します。これにより、暗号化適用後も暗号化適用前と同じ作業環境を保証します。
  • プロセス(プログラム)位のアクセス制御でランサムウェアを防止
    : ファイル単位の暗号化と一緒にプロセス(プログラム)アクセス制御機能を使用して、暗号化ファイルに対してユーザーが指定した正常なプロセスだけがアクセスできるように設定可能です。これにより、ランサムウェア、マルウェアのような外部攻撃プログラムは暗号化ファイルへのアクセスが遮断され、安全性を保証します。
  • プログラム修正不要、性能低下を最小限に抑える
    : Windows OSカーネル内部で自動的に暗号化を行うため、使用しているアプリケーションに暗号化後の影響がありません。 また、暗号化後も1%未満の性能低下で、暗号化前と同じ高速性能を保証します。
  • 力な暗鍵管理
    : 外部の異なる安全な空間で暗号鍵を管理できるように、冗長化機能をサポートする専用暗号鍵管理システムであるSG-KMS連動が可能です。SG-KMS連動時、暗号鍵は暗号化データとは別の安全な場所で強力な認証およびアクセス制御機能を通じて安全に管理されます。

SG-KMS (Key Management System)

SG-KMSは、D'Amoの暗号鍵を専門的に管理する暗号鍵管理システムです。 暗号鍵の全ライフサイクルを管理するシステムであり、暗号鍵を安全に管理し、保護する機能を提供します。

 

機能と特徴

  • 統合暗鍵管理
    : D'Amoのすべての暗号化モジュールに対する統合暗号鍵管理機能を提供します。暗号化使用中にも暗号鍵管理システムの導入が可能で、暗号化データとは異なる安全な空間で暗号鍵の管理が可能です。
  • 鍵の力なアクセス制御
    : 強力なアクセス制御機能により、暗号鍵を保護します。暗号鍵管理のための専用管理ツールは、ログイン可能なIPを制限して特定のIPのみログイン可能に設定され、暗号鍵も別途の証明書を基にアクセス制御機能を実行し、正常なD'Amoモジュールだけが暗号鍵にアクセス可能です。
  • 標準規格に準拠
    : 暗号鍵管理のさまざまな標準(FIPS、PKCS、TTASなど)に準拠した安全な鍵管理機能を提供します。

まとめ

D'Amoは、ユーザーの業務環境に合わせた多様な暗号化方式を通じ、ITシステムアーキテクチャ別のカスタム暗号化方式を提供しています。Oracle、MS-SQL Server、MariaDBのような多様な環境での暗号化の実装をサポートし、希望するデータベース内のカラムを選択的に暗号化し、システム性能の低下を最小限に抑えています。 また、専用統合暗号鍵管理システム、アクセス制御に対するポリシーの提供、データベース管理者とセキュリティ管理者の役割を分離し、内部セキュリティの脅威に対するリスクも遮断します。

D'Amoは、特定の暗号化方式のみを使用することを避け、顧客環境に最適化された暗号化技術を適用しているため、多様な要件を満たしています。米国国立標準技術研究所認証および国際CC認証、そして韓国の国家機関認証を取得し、これにより、個人情報保護に関するさまざまな規制を満たしています。

D'Amoは、20年以上世界市場で検証された暗号化ソリューションで、ユーザーの多様な環境に合わせた暗号化方式を提供し、強力なアクセス制御機能と監査ログ機能を備え、現在と未来のユーザーの最も重要な資産であるデータに対する安全な暗号化は、ユーザーの財産を保護するための最適な暗号化ソリューションです。