TDE(透過的データベース暗号化)とは
透過的の意味を踏まえて、TDE(Transparent Data Encryption)の概要を見ていきましょう。
表・表領域のデータを暗号化する方法
透過的とは「存在を意識することなく使える」という意味です。暗号化においては、暗号化や復号を意識することなく、暗号化データを扱えることを意味します。
透過的データベース暗号化(TDE)は、透過的にデータを保存できるデータベースのことです。表や表領域のデータを暗号化して保存します。
正規のユーザーがアクセスした際は、データが自動で暗号化・復号されます。ユーザーが手動で暗号化や復号を行う必要はないため、透過的な利用が実現するのです。
アプリケーションの書き換えを行わない
通常、データを暗号化する際にはアプリケーション側での操作が必要です。
たとえば、Wordファイルを暗号化する場合、Wordのアプリケーションの暗号化機能で処理を行う必要があります。つまり、新たに暗号化を実現しようとする場合、アプリケーションに暗号化機能を持たせる必要があるということです。
しかし、TDEでは保存されたデータは透過的に暗号化されます。そのため、データを操作するアプリケーション側で操作は必要ありません。どのようなアプリケーションからデータを操作しても、TDEに出し入れする時点で自動で暗号化・復号されるのです。
したがって、アプリケーション側には変更が必要ありません。
TDE(透過的データベース暗号化)の仕組み
続いて、TDEの仕組みを見ていきましょう。
マスター鍵で暗号化される
TDEの暗号化は2種類の鍵に基づいて行われます。始めに使われるのは、テーブル空間暗号化鍵です。これにより、TDEに保存されるすべてのデータが暗号化されます。
さらに、テーブル空間暗号化鍵も暗号化された状態で保存されます。そのための鍵がマスター鍵です。マスター鍵によって暗号化されたテーブル空間暗号化鍵は、TDE内のディクショナリ表で保管されます。
そして、マスター鍵はユーザーが指定するパスフレーズに基づいて暗号化され、キーストアに保存されます。正規のユーザー以外はパスフレーズを知らないため、マスター鍵を得られず、TDE内のデータを閲覧できません。
AESアルゴリズムを利用できる
TDEの暗号化アルゴリズムには、標準でAES192が採用されています。AESは共通鍵暗号方式の1つです。AESの後ろの192は、これが192ビットの鍵の長さを用いたAESであることを示しています。
AESは非常に高い安全性を誇り、2000年にアメリカ連邦政府標準の暗号化方式として採用されています。世界中で広く使われており、無線LANやSSL通信の規格としても用いられている方式です。鍵の長さは128・192・256ビットの3種類が存在します。
TDEでは、特に暗号化アルゴリズムを指定しなければ、AES192に従ってデータが暗号化されることになっています。指定する場合は、AES128やAES256のほか、3DES168も利用可能です。
TDE(透過的データベース暗号化)のメリット
TDEを使うメリットを見ていきましょう。
- 安全性が高い
- 世界標準のAESによって暗号化されるため、データを不正に傍受されるリスクを最小限に抑えられます。さらに、TDEにはトランザクションログの取得やバックアップの保存など、そのほかのセキュリティ機能も備わっています。
- 手間が少ない
- ファイルを個別に暗号化する場合、ファイルごとに暗号化や復号の操作をしなければなりません。その都度パスワードの入力を求められるため、ユーザーにとって負担となります。
- しかし、TDEであれば暗号化と復号が自動で行われるため、ユーザーは少ない手間で利用できます。
- アプリケーション側の変更は不要
- アプリケーションで暗号化を行う場合は、アプリケーション自体がその処理に対応しなければなりません。しかし、TDEは自身に出入りするデータを自動で暗号化します。アプリケーション側では暗号化処理を一切行う必要がありません。
TDE(透過的データベース暗号化)を有効活用しよう!
TDEとは透過的にデータを暗号化・復号するデータベースです。
ユーザーは暗号化や復号の処理を認識することなくデータを利用できます。暗号化アルゴリズムにはAESが使われており安全です。さらに、透過的であるためユーザーの手間が少なく、アプリケーションの変更が不要なのも魅力です。
以上を踏まえ、TDEの有効活用を検討してみてください。
