正しい暗号化アプローチの選択

Vormetricデータセキュリティ製品

利用目的、対応する脅威、受け入れられる複雑性により、最適なソリューションは異なります。

役員レベルでは、データ暗号化は単にバイナリーの問題で単純なものとして理解されています:データ暗号化が導入され、会社の資産が安全に守られる、もしくは暗号化はなされずに、パニックになる、のいずれかです。しかし、セキュリティ担当チームにとって機密資産を安全に守ることはそう単純ではありません。

最も要件に合うデータ暗号化ソリューションを決める際、いくつか考慮することがあります。上位レベルではデータ暗号化タイプは導入されるテクノロジースタックで分けられます。データ暗号化においては典型的には4つのテクノロジースタック、フルディスクもしくはメディア、ファイルシステム、データベース、アプリケーションがあります。

一般的に低層スタックに暗号化を導入する場合、導入がシンプルで運用への影響が少ないです。しかしながら、これらデータ暗号アプローチが対応できる脅威もまた、少ない。一方、より高層スタックに暗号化を導入した場合、セキュリティレベルはあがり、より多くの脅威に対応ができるようになります。

Security and deployment complexity

セキュリティ導入のレイヤが上がるほど導入の複雑性が増大します

以下はコンピュータスタック各層の暗号化の長所と短所詳細を記しています。お客様の環境、利用に最適な暗号化アプローチ、製品を選択する際にお役立てください。

フルディスク暗号

フルディスク暗号(FDE)もしくは自己暗号ドライブ(SED)を導入する際、ディスクへの書き込み情報はすべて暗号され、読み出しはすべて復号化されます。

利点:

  • 最もシンプルな暗号化導入方法。
  • アプリケーション、データベース、ユーザに対して透過的。
  • ハイパフォーマンス、ハードウェアベースの暗号化。

制限:

  • ストレージメディアの物理的紛失の脅威にのみ対応可能。
  • APT、悪意のある内部者、外部攻撃者からデータを守ることができない。
  • 最小のコンプライアンス要件しか満たすことができず、細かいレベルの監査ログ機能を有さない。

重要なポイント:

  • FDEは、紛失、盗難時に効果が高いラップトップでは意味があります。しかしながらデータセンターやクラウド環境のリスクに対しては一般的には適しません。

詳細については以下をご参照ください:

ファイルレベル暗号

ファイルレベルアでの暗号化はオペレーシングシステム上で稼働するソフトウェアエージェントによりセキュリティを提供します。エージェントはディスクへのReadとWriteの要求を横取りし、ポリシーに照らし合わせ、データが暗号化、復号化されるべきか判断します。ファイルシステム暗号化製品が強力なポリシーベースアクセスの制御を提供するので、特権ユーザ、プロセスのアクセス制御および細かいレベルのログ収集が可能となります。

利点:

  • ユーザ、アプリケーションへ透過的で、企業団体はアプリケーションのカスタマイズ、ストレージベンダーロックイン、ビジネスプロセスの変更を伴うことなく導入可能。
  • 構造化、非構造化ファイルをサポート。
  • 特権ユーザの悪用、一般的なコンプライアンス要件適用のための制御を提供。
  • 細かいレベルのファイルアクセスログの収集とSIEM連携。

制限:

  • 悪意のあるデータベース管理者やSQLインジェクション攻撃に対応するためにはDAM(データベースアクティビティモニタリング)製品も合わせて導入する必要あり。
  • エージェントはオペレーションシステムによって特定されるので、選択したソリューションがWindows、Linux、Unixの各プラットフォームに対応していることを確認することが重要。

重要なポイント:

  • 多くの企業・団体、目的のために、ファイル暗号化は最善のアプローチを代表するものです。広範囲な保護はさまざまなユースケースをサポートし、導入および運用がシンプルです。
  • クラウドストレージへ移行したデータを保護できる補助ゲートウェイを提供するソリューションをお勧めします。

詳細については以下をご参照ください:

データベース暗号(TDE)

データベースの特定のサブセット、もしくはデータベースファイル全体を暗号化するアプローチはです。さまざまなデータベースベンダーのソリューション、TDE(Transparent Data Encryption)が含まれます。

利点:

  • クリティカルなリポジトリであるデータベースのデータを保護します。
  • 悪意のあるデータベース管理者を含む、内部者など、広範囲な脅威に対して強力な保護機能を提供します。

制限:

  • データベースベンダーの製品は他のベンダーのデータベースに適用できない。
  • 複数ベンダーデータベースに共通の集中管理ができない。
  • データベースのカラムやテーブルの暗号化のみで、設定ファイル、システムログ、レポートを暗号化しない。

重要なポイント:

  • データベース暗号技術が仕様、戦略的要件に合致する一方、へテロな環境には対応することができません。結果として企業にセキュリティギャップが残留します。

詳細については以下をご参照ください:

  • 関連Vormetricソリューション:
    • Vormetricデータセキュリティプラットフォームはデータベースセキュリティソリューション を提供します
    • Vormetric Key Management によりTDE暗号鍵を管理することができます。

アプリケーション暗号

本アプローチでは、暗号化、トークン化をアプリケーションに実装します。

利点:

  • データベースのカラム等、特定のデータのサブセットを安全に守ります。
  • 暗号化、復号化はアプリケーション層で実行されるため、データは伝送、保存される前に暗号化される。
  • 悪意のあるDBAやSQLインジェクション攻撃に対する最高レベルのセキュリティを提供。
  • トークン化はPCI DSSコンプライアンスコストと管理オーバーヘッドを削減可能。

制限:

  • アプリケーションとのインテグレーションが必要なため、開発作業が必要。

重要なポイント:

  • セキュリティポリシーやコンプライアンス要件で、特定のデータセットを安全に守る必要がある場合に最適です。さらに、トークン化、FPE(Format Preserving Encryption)を含めたさまざまなアプリケーション層暗号化はデータベースへのインパクトを削減できます。
  • よくドキュメントされている、標準APIベースの、アプリケーション開発をシンプル化するサンプルコードが提供されているソリューションをお勧めします。

詳細については以下をご参照ください:

  • 関連Vormetricソリューション:
    • Vormetric Application Encryption は既存アプリケーションに暗号化を追加するプロセスをシンプル化します。
    • Vormetric Tokenization は既存アプリケーションにトークン化、ダイナミックデータマスキングを追加するプロセスをシンプル化します。

Application Encryption

ANALYST REPORT

Encryption as an Enterprise Strategy

Vormetric Data Security Platform

Offers survey results and analysis on creating an enterprise-wide encryption strategy.  

Download >>

ANALYST REPORT

Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

Vormetric Data Security Platform

Provides actionable information that can help you secure your most crucial asset, your data.  

Download >>

Customer and Partner Success

  • Rackspace Cloud Partners
  • McKesson
  • AWS
  • Google Compute Engine
  • Microsoft
  • IBM
  • CenturyLink
  • QTS
  • Teleperformance Secures
  • Delta Dental