TDE（透過的データベース暗号化）とは？仕組みやメリットを紹介！

TDE（透過的データベース暗号化）とは

透過的の意味を踏まえて、TDE（Transparent Data Encryption）の概要を見ていきましょう。

表・表領域のデータを暗号化する方法

透過的とは「存在を意識することなく使える」という意味です。暗号化においては、暗号化や復号を意識することなく、暗号化データを扱えることを意味します。

透過的データベース暗号化（TDE）は、透過的にデータを保存できるデータベースのことです。表や表領域のデータを暗号化して保存します。

正規のユーザーがアクセスした際は、データが自動で暗号化・復号されます。ユーザーが手動で暗号化や復号を行う必要はないため、透過的な利用が実現するのです。

アプリケーションの書き換えを行わない

通常、データを暗号化する際にはアプリケーション側での操作が必要です。

たとえば、Wordファイルを暗号化する場合、Wordのアプリケーションの暗号化機能で処理を行う必要があります。つまり、新たに暗号化を実現しようとする場合、アプリケーションに暗号化機能を持たせる必要があるということです。

しかし、TDEでは保存されたデータは透過的に暗号化されます。そのため、データを操作するアプリケーション側で操作は必要ありません。どのようなアプリケーションからデータを操作しても、TDEに出し入れする時点で自動で暗号化・復号されるのです。

したがって、アプリケーション側には変更が必要ありません。

TDE（透過的データベース暗号化）の仕組み

続いて、TDEの仕組みを見ていきましょう。

マスター鍵で暗号化される

TDEの暗号化は２種類の鍵に基づいて行われます。始めに使われるのは、テーブル空間暗号化鍵です。これにより、TDEに保存されるすべてのデータが暗号化されます。

さらに、テーブル空間暗号化鍵も暗号化された状態で保存されます。そのための鍵がマスター鍵です。マスター鍵によって暗号化されたテーブル空間暗号化鍵は、TDE内のディクショナリ表で保管されます。

そして、マスター鍵はユーザーが指定するパスフレーズに基づいて暗号化され、キーストアに保存されます。正規のユーザー以外はパスフレーズを知らないため、マスター鍵を得られず、TDE内のデータを閲覧できません。

AESアルゴリズムを利用できる

TDEの暗号化アルゴリズムには、標準でAES192が採用されています。AESは共通鍵暗号方式の１つです。AESの後ろの192は、これが192ビットの鍵の長さを用いたAESであることを示しています。

AESは非常に高い安全性を誇り、2000年にアメリカ連邦政府標準の暗号化方式として採用されています。世界中で広く使われており、無線LANやSSL通信の規格としても用いられている方式です。鍵の長さは128・192・256ビットの３種類が存在します。

TDEでは、特に暗号化アルゴリズムを指定しなければ、AES192に従ってデータが暗号化されることになっています。指定する場合は、AES128やAES256のほか、３DES168も利用可能です。

TDE（透過的データベース暗号化）のメリット

TDEを使うメリットを見ていきましょう。

安全性が高い

世界標準のAESによって暗号化されるため、データを不正に傍受されるリスクを最小限に抑えられます。さらに、TDEにはトランザクションログの取得やバックアップの保存など、そのほかのセキュリティ機能も備わっています。

手間が少ない

ファイルを個別に暗号化する場合、ファイルごとに暗号化や復号の操作をしなければなりません。その都度パスワードの入力を求められるため、ユーザーにとって負担となります。

しかし、TDEであれば暗号化と復号が自動で行われるため、ユーザーは少ない手間で利用できます。

アプリケーション側の変更は不要

アプリケーションで暗号化を行う場合は、アプリケーション自体がその処理に対応しなければなりません。しかし、TDEは自身に出入りするデータを自動で暗号化します。アプリケーション側では暗号化処理を一切行う必要がありません。

TDE（透過的データベース暗号化）を有効活用しよう！

TDEとは透過的にデータを暗号化・復号するデータベースです。

ユーザーは暗号化や復号の処理を認識することなくデータを利用できます。暗号化アルゴリズムにはAESが使われており安全です。さらに、透過的であるためユーザーの手間が少なく、アプリケーションの変更が不要なのも魅力です。

以上を踏まえ、TDEの有効活用を検討してみてください。