「SQL Server Data Tools」、SQL Server 2016などに搭載される「常時暗号化」機能に対応：データの所有者／DB管理者の権限分離を実現

　米マイクロソフトは2016年7月5日（米国時間）、「SQL Server 2016」や「Azure SQL Database」で提供される「Always Encrypted（常時暗号化）」機能に対応した「SQL Server Data Tools（SSDT）」をリリースした。

　SSDTは、SQL Serverリレーショナルデータベース、Azure SQL Database、Integration Servicesパッケージ、Analysis Servicesデータモデルなどを操作するアプリケーションを作成できる、無償の開発ツール。Always Encryptedは、データがサーバ上のいかなる場所、いかなる段階でも暗号化された状態にして情報漏えいを防ぐ機能で、SQL Server 2016とAzure SQL Databaseに搭載されている。

クエリ実行中でも、データベースパフォーマンスに影響を及ぼさすにデータを“常に暗号化”する「Always Encrypted」（出典：マイクロソフトの資料）

　Always Encryptedに対応したアプリケーションを使うことで、データを参照できるのは許可されたユーザーのみといった制御が容易になる。データを所有する（及び表示できる）実担当者や顧客と、システム上の管理／操作権限は必要だが、実際の機密データを見る必要はないデータベース管理者やオペレーターなどの権限を分離できる。

　Always Encrypted機能は、作業者のPCにインストールされたAlways Encrypted対応ドライバが、自動的に機密データの暗号化と復号を行うことで実現する。ドライバは、データベースエンジンにデータを渡す前に、機密と定義したデータを暗号化しつつ、データベースに対するデータの形式や構造が維持されるように自動的にクエリを書き換えて格納する。同様に、クエリ結果に含まれている暗号化されたデータベース列に格納されているデータを、透過的に復号する。

　Always Encryptedは、クライアントとデータの両方がオンプレミスにある場合、クライアントがオンプレミスに、データがクラウドの「Microsoft Azure（以下、Azure）」にある場合、クライアントとデータの両方がAzure内にある場合のいずれにおいても活用できる。

　Always Encrypted対応アプリケーションは、以下のツールで開発できる。

• 2016年7月にリリースされたSSDT
• Visual Studio 2013／2015
• 2016年7月にリリースされた「SQL Server Management Studio（SSMS）」

　2016年7月現在、Always Encrypted鍵をプロビジョニングするには、SSMSか、SSMSに付属する「SQL Server PowerShell」モジュールが必要となるが、SSDTでもAlways Encrypted鍵のプロビジョニングをサポートするようアップデートする計画だという。