Default banner

透過的データ暗号化の鍵管理

Microsoft SQL ServerおよびOracleデータベース向け鍵管理

透過的データベース暗号化(TDE)の鍵管理

透過的データベース暗号化(tde)の鍵管理Microsoft SQL ServerおよびOracleデータベースソリューションはネイティブな透過的データベース暗号化(TDE)を提供し、企業向けデータベースやクラウドでホストされるデータベースに保存されたデータを保護します。しかしこれらのソリューションでは、TDE鍵は暗号化されたデータベーステーブルと共に保存されます。

暗号鍵の管理には保護するデータから鍵を分離し安全に保存するといった課題が存在しており、鍵管理のベストプラクティスであるだけでなく、業界におけるデータ保護の共通義務にもなっています。企業がさまざまな目的で複数のデータベースを使用することで、暗号鍵の管理に関する課題は倍増します。各データベースには鍵を安全に保存・バックアップし、必要なときにそれらの鍵を利用できるようにするための専用の鍵管理が必要となります。

タレスの企業向け鍵管理ソリューションは、自社データベースやクラウドホスト型のMicrosoft SQL ServerおよびOracleデータベースの鍵管理を一元化し、データセキュリティを強化しながら企業が鍵をより自在に制御できるようサポートします。CipherTrust データセキュリティ プラットフォームの中核であるCipherTrust マネージャーを使用することで、Microsoft SQLおよびOracle TDE鍵と、その他のタレスのデータ保護システムで使用される鍵を一元管理することができます。

  • 課題
  • ソリューション
  • メリット

サイバー犯罪者の標的となっているデータベース

ビッグデータを利用する多くの企業はMicrosoft SQLやOracleのデータベースを導入しています。そしてご想像のとおり、サイバー犯罪者はNoSQLデータベースを標的にし、それらのデータベースに保存されている機密データを盗もうと企てています。

複数のデータベースにわたる管理の複雑さ

別々のベンダーが提供するさまざまなデータベース用に使用する暗号鍵の数は時間の経過とともに増え続け、管理者はそれらの異なる暗号鍵を管理するという複雑かつコストのかかるタスクに直面しています。また、OracleやSQL Serverの各インスタンスには個別の暗号鍵が必要となるため、個別にサポートされている鍵マネージャーを使用することで鍵管理がさらに複雑になり、鍵の紛失や盗難のリスクが高まります。

鍵管理における非効率性

各データリポジトリ用の暗号鍵の管理、手動システムによる暗号鍵の保存と送信、パスワード制御の欠如、一元化された方法による従業員退職時の鍵の取り消しは、運用効率の低下とデータ侵害につながります。

CipherTrust マネージャー

CipherTrust マネージャーはOracleデータベースやMicrosoft SQL Server TDE、またタレスとサードパーティが提供するその他さまざまな暗号化ソリューション向けの暗号鍵管理を一元化する、高可用性アプライアンスです。CipherTrust マネージャーを使用することで生成、ローテーション、破棄、インポート、エクスポートといった直接的な鍵のライフサイクルタスクだけでなく、証明書やシークレットも管理できるようになります。

Oracleデータベースの透過的データ暗号化

CipherTrust 企業向け鍵管理ソリューションはOracleデータベースの暗号鍵を一元的に保存・管理することにより、OracleデータベースのネイティブTDEを補完します。Oracle Advanced Security TDEの2層鍵アーキテクチャの一部として、Oracleデータベースはマスター暗号鍵(MEK)を使用し、データベース内の列とテーブルスペースの暗号化に使用されるデータベース暗号鍵(DEK)を暗号化します。タレスの鍵管理ソリューションはOracle Walletと連携して、FIPS認定を受けた安全な境界内でこれらのMEKを保護および管理します。

Microsoft SQL Serverの透過的データ暗号化

CipherTrust 企業向け鍵管理ソリューションは、Microsoftのデータベース暗号化スキームで使用される鍵に対して安全なストレージと管理を提供することにより、MicrosoftのネイティブTDEを補完します。Microsoft TDEはデータベース暗号鍵(DEK)を使用してSQLデータベース内の機密データを暗号化し、タレスはMicrosoft 拡張鍵管理(EKM)と連携して、FIPS140-2準拠のCipherTrust マネージャーにDEKを保存し管理を行います。

タレスの企業向け管理ソリューションはデータベースアプリケーションから独立した鍵の一元管理を可能にし、運用効率の向上、コンプライアンス指令への準拠、機密データ保護の強化をサポートします。またタレスのソリューションは、ニーズの拡大に合わせて拡張することができます。

あらゆる企業向けデータベースの暗号化

CipherTrust マネージャーは、鍵を管理してMicrosoft SQL ServerやOracleのデータベース内のデータを保護します。一方、CipherTrust データセキュリティ プラットフォームが提供するデータベース暗号化ソリューションは、鍵を管理してOracle、IBM DB2、MySQL、NoSQL、Sybaseといった複数のデータベース間でデータベースの暗号化を実行します。タレスのデータ保護ソリューションはWindows、Linux、AIXオペレーティングシステム上のデータベースを保護し、物理環境、仮想環境、クラウドベースの環境をカバーします。

運用効率

CipherTrust マネージャーは、複数のデータベース環境にわたって暗号鍵とポリシーを一元管理する単一の統合コンソールを提供することで管理費用を最小限に抑えます。CipherTrustのプラットフォームはデータベースソリューションを幅広くカバーしており、ユーザーはコストを削減し、サイロ化した複数のデータベース暗号化の管理にまつわる複雑さを回避することができます。

スケーラブルかつ柔軟

CipherTrustのプラットフォームは、複数のベンダーのデータベース全体でTDE鍵を管理するCipherTrust マネージャーや、アプリケーションに変更を加えることなくファイルシステムやボリュームレベルでデータを暗号化するCipherTrust 透過的暗号化といった、さまざまな製品を提供しています。CipherTrustのプラットフォームはIntel AES-NIチップに組み込まれたハードウェアレベルの暗号化テクノロジーを使用して、ファイルの暗号化・復号化操作のパフォーマンスを大幅に向上させます。

  • 関連リソース