“データベース暗号”は本当に必要なのか?<1>

IT・IT製品TOP > Key Conductors > 片岡 裕紀(トライポッドワークス株式会社) > “データベース暗号”は本当に必要なのか?<1>
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

“データベース暗号”は本当に必要なのか?<1>

セキュリティ 2014/02/04

2005年に <個人情報保護法> が施行してから約9年―
企業の情報セキュリティ対策として <データベース暗号> が注目を浴びたことはご存知でしょうか?

特に金融業やサービス業では、「個人情報」 に加え、「クレジットカード情報」 も含まれることから多くの大手を含む銀行やサービス事業者が対策を施しています。
この対策は、あまり表に出ることはなく、社内でも極秘に遂行される場合があり、そんな対策が施されていることを利用者は全く意識せずに利用しています。

「セキュリティ」 という名のもとに....

データベース暗号は怖い―

<データベース暗号> という対策は、データベースに蓄積する機密性の高い情報を解読できない、つまり、読んでも意味のない情報にしてしまう対策です。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

暗号化後の表イメージ

当初は、<データベース暗号> のことを説明すると、戸惑い、暗号化のリスクを感じてしまう人が大勢いました。「データは保証できるのか?」、「データが壊れていないのか?」、「アプリケーション側に影響しないのか?」、「元に戻すときは大丈夫なの?」 といった具合に多くの心配を耳にしました。

なぜ、そんな不安を抱いてまでデータを暗号化する必要があったのか?

そんな疑問も含めて、<データベース暗号> について、僕が伝えることができる範囲でコンパクトに判りやすく解説していきたいと思います。

そもそもデータベースって何なの?

「データベース」 という言葉は、アプリケーション開発を携わった方であれば、触れたり、聞いたことのある方も多いと思います。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

サービスに必要な情報が保管されています。

クリックすると拡大されます。

そもそも 「データベース」 とは、"情報の集合体" を表した単語です。
この定義から行くと、エクセルやXMLなどに含まれる情報もデータベースという定義になります。

ここで僕がいう 「データベース」 とは、「リレーショナル・データベース・マネジメント・システム:Relational DataBase Management System (以下、RDBMS)」 のことです。

このRDBMSとは、データを人とシステムが効率よく管理・運用できるデータ管理ソフトウエアとして多くの基幹システムや業務システムにデータが保管され、管理・運用されています。

例えば、近年のブログやウェブ制作で利用されるCMSには、PostgreSQLやMySQLが利用されており、皆さんが会社でご利用の業務システムや顧客管理システムの後ろでも多くの場合は商用のRDBMSが動いています。

■有名なRDBMS
・ IBM DB2 (IBM)
・ Oracle Database (オラクル)
・ 日立 HiRDB (日立製作所)
・ 富士通 Symfoware (富士通)
・ PostgreSQL (オープンソース(BSD))
・ Microsoft SQL Server (マイクロソフト)
・ MySQL (オラクル)
・ MariaDB (オープンソース(GPL))

なお、近年、普及しているSNS(FacebookやTwitterなど)では、NoSQLデータベースというRDBMSと概念の異なるデータベースシステムが利用されています。

データベース暗号で防ぐことができる脅威―

さて、本題に戻り、<データベース暗号> が 「必要な背景」 よりも先に対策により防ぐことができる 「脅威」 をお伝えした方が良いと思います。
実は、<データベース暗号> で防ぐことができる脅威は、思ったよりも多くありません。

■<データベース暗号> で防ぐことが可能な大きな脅威
●物理的な盗難
 データベース サーバーから物理的にストレージを抜き取られるケース

●OSレベルからのデータファイル奪取
 データベース サーバーのOSからデータファイルを抜き取られるケース
 ※データの保存領域やバックアップデータなども対象

この範囲を読むと疑問を抱く方が多いと思います。

「そもそも、企業のサーバールームやデータセンタに侵入されてハードディスクを盗まれる危険性は高くないのでは?」
「クライアントの権限管理で対策しておけばサーバーのOSから奪取することはできないのではないか?」
「その前のファイアウォールで防げるでしょう?」

要するに、「入退出セキュリティ」、「通信セキュリティ」 と 「OSセキュリティ(権限管理含む)」 が整えば不要のセキュリティ対策とも云えるため、疑問視されるケースが多いセキュリティの対策です。(意外にも海外ではデータセンタからハードディスクを盗まれたという事例もあるようですが....)

それでもなお、企業が <データベース暗号> を検討、実施する理由はなぜでしょうか?

それを紐解くには、<データベース暗号> がセキュリティ対策として現実的に "有効" か "必要" かの議論になります。
この対策は、"法的な制約" があるため "必要" であると思います。
ただし、この対策が本当に "有効" であるかは技術的な部分も含め、議論の余地があります。

次回は、<データベース暗号> が "必要" な背景を考察したいと思います。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007039


IT・IT製品TOP > Key Conductors > 片岡 裕紀(トライポッドワークス株式会社) > “データベース暗号”は本当に必要なのか?<1>

このページの先頭へ

キーマンズネットとは
1978年、福岡県出身。2004年にプログラマとしてITベンチャーに転身。RDBMS向けの<国産>セキュリティ ソフトウエア開発とプレセールスを経験。その後、少しだけ経営を携わり、2010年12月にトライポッドワークス株式会社へ入社。

ページトップへ