連載
» 2017年09月15日 05時00分 公開

今さら? 今こそ! データベースセキュリティ(6):データベースの暗号化、まず「何を、どのように」実施すべきか (1/3)

本連載では、データベースセキュリティの「考え方」と「必要な対策」をおさらいし、Oracle Databaseを軸にした「具体的な実装方法」や「Tips」を紹介していきます。今回は「データベースの暗号化で、まず実施すべきこと」を解説します。

[福田知彦,日本オラクル株式会社]

連載バックナンバー

 前回は、データベース暗号化が必要となった背景と、データベース暗号化には用途別に3つの異なる方式があり、それぞれにメリットとデメリットが存在することを説明しました。

 今回は具体的に「どんなデータをどのように暗号化すべきか」の指針を順に解説していきます。

「暗号化するかどうかに迷うものは、全て暗号化する」を基本指針とする

 企業活動で生成されるデータにはまず、「コンプライアンス要件などで、必ず暗号化しなければならない」ものがあります。

 例えば、クレジットカード業界やEC業界などで2018年3月までの対応が迫られている「PCI DSS(Payment Card Industry Data Security Standard)」では、「保存されるクレジットカード会員データを保護する」という要件を満たすための重要な要素として「暗号化」を挙げています。

 この他、個人情報保護法(個人情報の保護に関する法律)の順守も当てはまります。経済産業省が公開した「個人情報保護に関するガイドライン」では「格納データの暗号化」が具体的に明記されてはいません。しかし、ガイドラインに記載がないからといって、実施しなくてもいいのでは決してありません。

 例えば、2018年5月の施行を控える欧州連合(EU)による「GDPR(General Data Protection Regulation:EU一般データ保護規則)では、「個人情報の仮名化と暗号化(the pseudonymisation and encryption of personal data)」を必要に応じて実施せよ、との記載があります。バックナンバー「『講じなければならない』ならば話は別 データベースセキュリティが『各種ガイドライン』に記載され始めている事実」で説明した通り、サイバーセキュリティ経営ガイドライン政府統一基準などにも、「重要なデータは暗号化すべき」と明記されています。

 バックナンバー「なぜ、今『データベースセキュリティ』なのか──安全なデータベースに必要な5つの基本」も再度確認してください。ここでは、データベースを安全に運用する上で実施すべきポイントの1つとして「暗号化した方がよいか迷うものは、全て暗号化する」と説明しました。また、「機密レベルに合わせたセキュリティ対策実施例」では、4段階で設定した重要度レベルのうち、下から2番目のSILVERレベルの段階でデータへのセキュリティ対策として「格納データの暗号化」をするように勧めています。

 つまりは、個人情報に限らず、そもそものセキュリティ対策としてデータの暗号化は「やっておくべき基本的な対策である」ということになるでしょう。

 バックナンバー「データベース暗号化が必要な理由と『3大方式』を理解する」では、データを暗号化していなければ、意図しない人が「盗み見ることができてしまう」可能性があることを紹介しました。このことは、あらためて聞けば「確かに」と理解できるでしょう。しかし多くのデータベース管理者はこれを「想定していなかった」のではないでしょうか。もう1つ例を紹介しましょう。

 OS上の操作で削除してしまったファイルを復旧/復元する手段があるのはご存じと思います。それと同様にデータベースにも「データ復旧サービス」や「データ復元ツール」があります。どうしても起動しなくなったデータベース表のデータをCSVなどに書き出してくれるといったものです。

 この手のサービスやツールは、いざ障害が発生したときには大いに助かるものです。しかしよく考えてください。データベースの構成ファイルさえあればデータを復元できる。裏を返せば、悪意ある人がバックアップ、データファイル、ディスクなどを何らかの方法で入手できたならば、中のデータを吸い出して復元できる手段があるとも言えます。

 もちろんバックアップ、データファイル、ディスクの持ち出し対策は既に行っているとも思いますが、ともあれ「想定していない」手口を事前に対策することは困難です。しかし昨今は、そんな新しい「想定外の攻撃手法」が次々に登場しているのもまた事実です。「暗号化するかどうかに迷うものは、全て暗号化する」は、ぜひ今後の運用の指針に据えるようにしてください。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。