EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

データベース・セキュリティの実装 第3回 データベースの暗号化とパフォーマンスの両立

edited by DB Online   2011/11/09 00:00

第3回はデータベースの暗号化について取り上げる。まず、データベースの暗号化について真っ先に頭に浮かぶとすると、そもそも暗号化することで何のメリットがあるのだろうか? パフォーマンスへの影響はどれくらいあるのだろうか? という疑問があるに違いない。今回は、その疑問を明確に解消できる方法を具体的に説明していきたい。

データベース暗号化の意義

 事を起こすには必ず理由があるように、データベースを暗号化する、しなければならない理由もある。その背景となる脅威については、Think ITの記事で詳細に触れているので一度目を通してほしいが、データベースの暗号化によって防ぐことができる脅威は、盗聴と盗難だ。

 具体的に、Oracle Databaseで考えてみると、

  •  Oracle Netを使ったクライアント~データベース間の通信の盗聴
  •  データファイル、REDOログファイル、アーカイブログファイルの盗難
  •  Export、Datapump、Recovery Manager等のバックアップファイルの盗難

 ネットワークアナライザのようなソフトウェアでパケットを覗き見られたとしても、USBメモリでデータファイルをコピーして持ち出されたとしても、暗号化されていれば当然そのデータを見ることはできない。実際に、暗号化されていないハードディスクを修理に出した後に顧客情報が漏えいしてしまったという事件もある。情報漏洩対策としては、暗号化、認証やアクセス制御など複数のセキュリティ対策の組み合わせで実施されるべきものではあるが、その中でも暗号化は保険的な最後の砦としてその役割は非常に重い。

暗号化はアクセスコントロールではない

 よくデータベースの暗号化というと、下の図のようにユーザーごとにデータが暗号化されるようなイメージを持たれるかもしれない。これは本来暗号化で行うべきものでない。第1回に紹介しているがデータベースにはアクセスコントロールの機能が備わっており、この機能で誰にどのデータを見せるかということを定義することが正しい使い方である。暗号化が防ぐことができる脅威は、データの盗聴と盗難ということを忘れないで欲しい。

暗号化はアクセスコントロールではない
暗号化はアクセスコントロールではない

Oracle Advanced Security Option (ASO)

 Oracle Advanced Securityは、データベースの暗号化に特化したオプションだ。上記で示した脅威に対して、Oracle Advanced Securityでは、それぞれ暗号化することで対応が可能である。今回は、特にネットワークの暗号化と格納データの暗号化の特徴と方法について説明していく。

Oracle Advanced Security
Oracle Advanced Security

著者プロフィール

  • oracletech.jp編集部(オラクルテックジェイピーヘンシュウブ)

    oracletech.jpは、オラクル・データベースと関連製品をお使いいただいている皆様、開発に携わっているエンジニアの皆様、オラクル製品を販売いただいている皆様すべてにとって有益な情報源となることを目指しています。 エンタープライズ系ITを中心に、製品情報や技術情報からテクノロジー・トレンド、キャンペーンやイベント/セミナー情報まで多岐にわたります。日本オラクルの社員だけでなく、外部の有識者やフリーランス・ライターを含む幅広い執筆陣により"ベンダー発"の枠を脱したコンテンツ発信を目指します。 好奇心が、エンジニア人生を豊かにする。 oracletech.jp

バックナンバー

連載:oracletechアーカイブス!
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5