製品概要

データベース暗号化の必要性

2005年4月、日本では「個人情報保護法」が全面的に施行されました。その後、2017年5月30日に個人情報の保護に関する法律が改正されました。個人情報に関する情報の規則は、日々強化され、企業は多数の重要な情報を安全に保護するため、データ暗号化を対策として活用しています。

では、なぜ企業のセキュリティ担当者たちは暗号化に注目しているのでしょうか。

まず、安全性の高いシステムを構築するためには暗号化が必要です。情報はいつでも流出される可能性があるということを前提に、その流出を防ぐために最善を尽くすべきです。情報が流出されやすいという状況を確実に認知し、備えなければなりません。その必要と危険性は、今まで起きた様々な情報漏洩事故ですでに証明されています。暗号化は、価値のある情報を変形し、無意味で価値のないビットに置き換えることにより、情報窃盗を狙う目的そのものを根本的に遮断する事故防止の抑止力です。同時に情報が既に流出された状況でも、情報の内容が露出される最悪の事態を発生しないようにする究極の兵器です。

システム・レベル暗号化(D’Amo System Level Encryption)既存環境へのアドオン(Add-on)する暗号化モジュール
D’Amo Plug-Inパッケージ(D’Amo DP:D’Amo DBMS Package)は、インストールおよび運用が容易なパッケージ型で提供されるDB暗号化ソリューションです。対応DBMSの種類によりOracle対応パッケージ(DP-ORA)と、Microsoft SQL Server対応パッケージ(DP-MSQ)を提供しています。

データベース暗号化方式:プラグイン(Plug-In)

様々なDBMS暗号化ソリューションがありますが、その暗号化方式は暗号化および復号を行う位置により、大きく3通り、アプリケーション方式、DB Plug-In方式、In-Place方式と分類できます。
※ 各分類の方式名はペンタセキュリティにより定義されているため、他社は別な定義をしている場合があります。

2_1_1_img01

D’Amo DPの構成

DPは、クライアント環境の管理コンソールとデータベース・サーバ内に構築される
セキュリティ・エージェント(SA:Security Agent)の2つのコンポーネントで構成されます。

2_1_1_img02

導入効果

従来型の暗号化製品は、アプリケーション上で開発を伴い、導入時の開発コストを要するため、既存環境への暗号化構築は非常に難しく思われていました。これに比べ、アドオン(Add-on)型の暗号化モジュールのD’Amo DPは、既存のデータベース構成を活用しながら、高度なセキュリティ機能を統合することが可能です。これにより、内部者および外部者による情報漏洩の根本的なセキュリティ対策として、データベース・システムの機密データを高次元で保護します。

2_1_1_img03

製品特長

1. DBAとセキュリティ管理者の職責の分離

通常のシステム上では、DBAの権限によって全てのデータに対しアクセスが許可され、実データに関しても、閲覧可能な状況になる傾向があります。これは、データに対してのアクセスコントロールのポリシーを作成する際に、”職責の分離”という観点では、適切とは言えません。D’Amoを導入することにて、データベース管理者(DBA)とセキュリティ管理者の職責を明瞭に分離し、役割に応じた権限を実現致します。すなわち、セキュリティ管理者は、DBAに対しても実データの参照を制限することができます。
2_1_2_img01

2. アプリケーションからの独立性

DPは、データベースへ暗号化モジュールのAdd-on方式であり、アプリケーション側のSQLクエリを変更することなく導入できます。このため、アプリケーション側での変更は最小限(※)であり、既存環境への導入へも容易です。
※ クエリー・パフォーマンスの改善のため、クエリーを修正(最適化)することが推奨される場合もあります。
2_1_2_img02

3. 機密性のデータに対し、「選択的」カラム単位の暗号化

データベースに格納されているデータに対し、機密性を求められている部分のみを選択的に暗号化できます。カラム単位の暗号化を実現し、暗号化前後のパフォーマンスの影響を最小限に抑えることができます。

2_1_2_img03

4. 部分暗号化技術を採用した暗号化と順序維持の両立

指定した特定の範囲を暗号化する「部分暗号化」にて暗号化後のデータ順序を維持し、インデックス検索に対応します。

2_1_2_img04

5. 暗号化カラムに対しアクセスプロセスを監査

暗号化されたデータに対し、カラム単位でアクセスを監査(※)できます。暗号化カラムに対しDBユーザの権限を指定することでアクセスを制御します。
※暗号化カラムの監査は、Oracle Database Enterprise Editionにおけるファイングレイン監査機能が必要になります。

6. DBMSおよび暗号化カラムに対しての様々なアクセスコントロールを実現

OSアカウント、IP、MAC、アプリケーション、時間をベースにしたデータベースシステムや暗号化カラムに対するアクセスコントロール機能を提供します。

●アクセスコントロール条件

✓ データベース・ユーザ: SCOTT
✓ アクセス・ポリシー(許可):IPアドレス(192.168.11.32)/アクセスツール(“TOAD”)/時間(09:00-18:00)

2_1_2_img05

7. 暗号化前後の影響を最小限に抑え、高効率なパフォーマンスを実現

DP導入前後のパフォーマンスを測定した結果、暗号化前後の差は最小限に抑えられ、また、一部のクエリーの最適化作業(チューニング)により、DP導入後パフォーマンスが改善される例も確認されています。

2_1_2_img06

8. 複数のDBMSインスタンスの統合された管理性を持つGUIインターフェースを提供

セキュリティ管理者は、D’Amoの管理コンソール上のGUI(グラフィカル・ユーザーインタフェース)上で操作を行い、セキュリティ・ポリシーの定義、暗号化処理、暗号化の解除、アクセス権限の指定等、すべてのデータベース・インスタンスのセキュリティを統合的に管理します。

2_1_2_img07

対応環境

DP-ORA v2.3

OS32bit64bitOracleバージョンShared Mode
AIX 4.3XO9iX
AIX 5.1XO9i10gX
AIX 5.3XO9i10g11gX
HP-UX IAXO9i10g11gX
HP-UX PA-RISCXO9i10g11gX
LINUX X64XO9i10g11gX
LINUX X86OX9i10gX
OSF 1.5.1XO9i10gX
SUNOS 5.9XO9i10g11gX
WINDOWS X64XO9i10g11gX
WINDOWS IA64XO9i10g11gX
WINDOWS X86OX9i10g11gX

DP-ORA v3.0

OS32bit64bitOracleバージョンShared Mode
AIX 4.3XXX
AIX 5.1XO9i10gX
AIX 5.3XT9i10g(T)11g12cX
HP-UX IAXO9i10g11g12cX
HP-UX PA-RISCXO9i10g11g12cX
LINUX X64XO9i10g11g12c(T)X
LINUX X86OX9i10gX
OSF 1.5.1XXX
SUNOS 5.9XO9i10g11g12cX
WINDOWS X64XT9i10g11g(T)12c(T)X
WINDOWS IA64X9i(△)10g(△)11g(△)12c(△)X
WINDOWS X86OX9i10g11g12cX

DP-MSQ v2.3

DBMSWindows Server2003Windows Server2008Windows Server2008R2Windows 7U Itimate K
x86x64ia64x86x64ia64x86x64ia64x86x64ia64
SQL Server
2005
Standard
SP1~
OOOOOOOOOOOO
SQL Server
2005
Enterprise SP1~
OOOOOOOOOOOO
SQL Server
2008
Standard~
OOOOOOOOOOOO
SQL Server
2008
Enterprise~
OOOOOOOOOOOO
SQL Server
2008 R2
Standard~
OOOOOOOOOOOO
SQL Server
2008 R2
Enterprise~
OOOOOOOOOOOO
SQL Server
2012
Standard~
OOOOOOOOOOOO
SQL Server
2012
Enterprise~
OOOOOOOOOOOO

DP-MSQ v3.0

DBMSWindows Server2003Windows Server2008Windows Server2008R2Windows 7U Itimate KWindows Server2012
x86x64ia64x86x64ia64x86x64ia64x86x64ia64x86x64ia64
SQL Server
2005
Standard
SP1~
OOOOOOOOOOOOOOO
SQL Server
2005
Enterprise SP1~
TOOOOOOOOOOOOOO
SQL Server
2005
Enterprise SP2~
OOOOOOOOOOOOOOO
SQL Server
2008
Enterprise~
OOOOOOOOOOOOOOO
SQL Server
2008 R2
Standard~
OOOOOOOOOOOOOOO
SQL Server
2008 R2
Enterprise~
OOOTOOOTOOOOOOO
SQL Server
2012
Standard~
OOOOOOOOOOOOOOO
SQL Server
2012
Enterprise~
OOOOOOOTOOOOOTO
SQL Server
2014
Enterprise~
OOOOOOOOOOOOOTO

※ 表記説明
〇:基本パッケージ対応
△:基本パッケージ対応不可、必要時別途リクエスト要
T:内部検証済み

クライアント対応
区分対応環境
ソフトウェアMicrosoft Windows 2003/2008/7/2012
ハードウェアCPU:x64、x86X
RAM:256MB以上
HDD:110MB以上の空き領域