バックアップ/アーカイブ バックアップ/アーカイブ記事一覧へ

[技術解説]

データ保護セキュリティ製品総まとめ─DB暗号化の処理能力は大幅に改善、クラウド上のデータ保護を謳う製品も

モバイル&クラウド時代の必須要件「データセキュリティ」を考える Part5

2012年7月24日(火)緒方 啓吾(IT Leaders編集部)

長年、懸念されてきたDB暗号化のパフォーマンス問題は過去のものとなりつつある。 ファイル暗号化やDLP、ILMなども使い勝手を高めるべく進化を続けている。 さらに、DB管理者の不正対策やクラウド上のデータ保護を謳う製品も登場。 Part5では、データセキュリティに関連する製品を見ていく。緒方 啓吾(編集部)

ネットワークやPC向けの対策が重視されてきた分、データを対象としたセキュリティ対策の存在感はどちらかというと薄い。しかし、各ベンダーはデータ保護という困難な課題を解決するため、長年に渡って力を注いできた。これまでに蓄積された知見は、今後、データセキュリティに取り組む企業にとって必ず役立つはずだ。主要な製品をみていこう。

【データベース暗号化】
ハードウェアの支援機能を活かしパフォーマンスを大幅に改善

企業ITの中でも重要データが集中するデータベース。保護の柱となるのが暗号化である。テーブル単位のアクセス制御、カラム単位のマスキング、SQLのモニタリングなどの対策の重要性は言うまでもない。ただし、ディスクに保存したデータを直接覗き見ることができるようでは、せっかくの対策も効果が半減してしまう。

オラクルやマイクロソフト、IBMなどの主要データベース製品は暗号化オプションを備えている。オープンソースを利用する場合はサードパーティの製品も選択肢となり得るだろう。暗号化を利用する環境は整っている。

しかし、これまで国内ではデータベースの暗号化は敬遠されてきた。「海外大手企業の利用率は85%程度。一方、国内では10%未満にとどまっている」(日本オラクルの山本恭典執行役員)。

理由は2つ。アプリケーションの改修の必要性と、パフォーマンスの低下である。特に後者は往年の印象が強く残っているようだ。ディスクアクセスのたびに暗号化の処理が発生するため、かつては、処理時間が数十%長くなることもあった。バッチ処理が時間内に終了しなくなる場合もあったという。

しかし、データベース側からみると、すでに問題は存在しない。例えば、オラクルは「Oracle Database 10g R2」から暗号化機能を刷新した。「Transparent Data Encryption(TDE)」と呼ぶ新方式を採用。それまでは、「暗号化ツールキット」と呼ぶPL/SQLライブラリを使って、アプリケーション側で暗号化と復号を行っていたが、データベース側で処理するようにした。これにより、ライブラリの呼び出しに伴うオーバーヘッドも解消。パフォーマンスの改善につながった。

プロセサの支援機能も性能改善に一役買っている。インテルのXeonプロセサ5600番台から搭載された「AES-NI」は、暗号化処理をハードウェア側で実行する。データベースが処理する場合と比較して処理速度が大幅に向上する。「TDEとAES-NIの組み合わせで、処理時間は暗号化で1.01倍、復号は1.03倍程度の延長で収まるようになった。5%程度の時間増であれば許容できると考える管理者は多い」(山本執行役員)。

【暗号鍵管理】
暗号化を実質的に機能させる鍵
クラウド上の仮想マシンも対象に

暗号化を考える上で避けて通れないのが「鍵」の管理である。管理を厳重にして使い勝手が悪くなると、使われなくなる可能性があるし、甘くすると暗号化の意味がなくなる。これはデータベースに限った話ではない。

そうした課題を解決するのが、暗号鍵の管理ツールである。例えば、EMCのデータ暗号化ソフト「RSA Data Protection Manager(DPM)」は、社内の暗号鍵を一元的に管理する機能を備える。認証をクリアしたユーザーからの要求に応じて対応する鍵を渡す。定期的に新しいものに変更したり、不要なものを削除したりと、暗号鍵のライフサイクルを管理しやすくなる。

一方、セーフネットの「DataSecure」は、HSM(ハードウェア・セキュリティ・モジュール)と呼ばれる製品。暗号鍵の管理と、暗号化処理の機能を提供する専用ハードウェアである。一般的なサーバーに暗号鍵を保管する場合、OSやミドルウェア、アプリケーションに脆弱性がないよう配慮する必要がある。鍵管理に特化したハードウェアを用いて、そうした手間を省く。

暗号鍵は生成から破棄までハードウェアの外に一切出さない。物理的に分解してデータを取り出そうとすると、暗号鍵を自動消去する徹底ぶりだ。データの処理は、ハードウェア内で行う。権限を持つユーザーやアプリケーションから暗号化(復号)対象のデータを受け取り、鍵を使って処理した結果を返す。暗号処理に伴う負荷をアプリケーションやデータベースから切り離す効果もある。

一方、トレンドマイクロは2011年7月、Amazon EC2などのクラウド上に保存したデータの暗号化と、鍵管理を行う「Trend Micro SecureCloud」を発表した。従来、事業者任せだったクラウドのデータ保護を、企業が主体的に行えるようにする。機能はクラウドサービスとして提供するため、自社内にサーバーなどを導入するを持つ必要がないのが特徴だ。

図5-1 国内市場に投入されている主なHSM製品
図5-1 国内市場に投入されている主なHSM製品
図5-2 国内市場に投入されている主な暗号鍵管理製品
図5-2 国内市場に投入されている主な暗号鍵管理製品
この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
  • 3
関連キーワード

BCP/DR / Oracle Database / 暗号化 / Trend Micro / マクニカネットワークス / DRM / DLP / 日立ソリューションズ

関連記事

トピックス

[Sponsored]

データ保護セキュリティ製品総まとめ─DB暗号化の処理能力は大幅に改善、クラウド上のデータ保護を謳う製品も長年、懸念されてきたDB暗号化のパフォーマンス問題は過去のものとなりつつある。 ファイル暗号化やDLP、ILMなども使い勝手を高めるべく進化を続けている。 さらに、DB管理者の不正対策やクラウド上のデータ保護を謳う製品も登場。 Part5では、データセキュリティに関連する製品を見ていく。緒方 啓吾(編集部)

PAGE TOP