データベースを保護する方法
データベースには、組織の最も重要な資産が含まれています。 従業員の個人を特定できる情報(PII)、ビジネスに関する知的財産、財務情報、競争戦略、または個人の顧客の詳細など、これらの資産を保護することは、成長する政府や業界のデータ保護とセキュリティ規制へのコンプライアンス、および会社の評判と幸福を確保するために不可欠です。 侵害されたデータベースやデータ侵害は、修復費用や消費者の信頼の喪失は言うまでもなく、多額の罰金を伴うことがよくあります。
主な課題は何でしょうか?
組織がビジネスを運営するために使用する情報が増えるにつれて、データの量とデータベースの数は増え続けています。 さまざまなデータベースがホストされている場所(オンプレミス、クラウド、複数のクラウド、またはハイブリッド環境)に関係なく、一貫した方法で確実に保護することは、ますます困難になっています。 データの機密性を暗号化して保護するために使用される暗号化鍵を保護することは非常に重要です。 これにより、健全なデータベース セキュリティ戦略を確保するための鍵管理の基本的な課題が発生します。 スケーラブルな鍵管理により、組織はデータベース全体で暗号化鍵を制御できるようになり、組織の最も機密性の高い資産を保護し、規制順守を促進できます。
データベースを保護する方法
データベースを効果的に保護するために、組織はさまざまなツールとテクノロジーを適用する必要があります。 目的は、データの機密性と整合性を保護し、アクセスを許可されたユーザーとアプリケーションのみがデータを利用できるようにし、境界防御が失敗した場合でも他のすべての人/すべての物がデータにアクセスできないようにすることです。 したがって、組織は、データベースのセキュリティを、ユーザーアクセスを制御し、保管中、転送中、および使用中の重要なデータを保護するために必要な構成要素と見なし、規制遵守を促進する必要があります。
データベース内に存在するデータを保護する場合、6つの異なるセキュリティオプションがあります。 データは、ストレージレベル、ファイルシステム、実際のデータベーススキーマ、アプリケーションレベル、プロキシ、またはエンドユーザー アプリケーションで保護できます。
ストレージレベルの暗号化
ストレージレベルの暗号化には、データの機密性を保護するメカニズムを提供する自己暗号化ドライブ(SED)が含まれています。 商用SEDは通常、Key Management Interoperability Protocol(KMIP)などの標準に合わせて構築されているため、暗号化鍵を一貫した方法で外部から管理できます。 通常、ストレージレベルのソリューションは低コストで、実装と保守が容易です。 ただしこれは、物理的なデータストレージの損失を防ぐだけです。
ファイルレベルの暗号化
ファイルレベルの暗号化には、Microsoft BitLockerやLinux LUKSなどのネイティブ オペレーティングシステム ソリューションが含まれており、外部暗号化機能で強化することもできます。 ソリューションによっては、特権ユーザーから保護することもできます。 外部ソリューションはオペレーティングシステムに依存するため、使用がより困難になる可能性があります。
データベースレベルの暗号化
データベースレベルの暗号化は、確立されたベンダーがMicrosoft SQL、Oracle MySQLなどのオンプレミスで透過的なデータベース暗号化(TDE)を提供し、クラウドでは AWS、GCP、Microsoft Azure、Oracle Cloudなどを使用しています。 このレベルでは、データ損失に対する優れた保護が提供されますが、通常、鍵管理は脆弱です。 サードパーティの鍵マネージャーを使用して、この機能を強化できます。
アプリケーション 暗号化・アプリの暗号化と保護
アプリケーションレベルの暗号化は、トークン化やフォーマット保持暗号化などのテクノロジーを使用して、構造を変更せずにデータを保護できます。 これらのメカニズムは高いセキュリティを提供し、アプリケーションに変更を加える必要はありませんが、通常は本質的にカスタマイズされており、実装がより困難です。
プロキシ層の暗号化
プロキシ層の暗号化は、ユーザーとデータを処理するウェブアプリケーションとの間の透過的なインターフェイスを提供します。 通常、アプリケーションを変更する必要なく、堅牢なセキュリティを提供します。 ただし、これは単一障害点であり、パフォーマンスとスケーラビリティが複雑になる可能性があります。
エンドユーザアプリケーションの暗号化
エンドユーザー アプリケーションの暗号化は、エンド ツー エンドのセキュリティで最高レベルの保護を提供しますが、専用のインターフェイスが必要なため、実装が難しくなります。
ベストプラクティス
複数の面でデータベース セキュリティに対応できることが重要です。 さまざまなデータベースとデータ ストアの主要な管理機能を統合することで、データを漏洩から保護し、組織を負債から保護します。 暗号化鍵を一元的に安全に管理、ローテーション、および共有するための鍵管理は、簡単に展開できるように、KMIPに準拠する必要があります。 クラウドで実行されているデータベースの場合、組織がクラウドサービスプロバイダー全体で独自の暗号化鍵を生成、管理、および使用できるようにする自分の鍵を持ち込む(BYOK)アプローチで、鍵とデータをより細かく制御できます。 鍵管理ソリューションは、リスクを低減し、コンプライアンスを確保するために、常に鍵を暗号化されたデータから分離する必要があります。 ハードウェアセキュリティモジュール(HSM)は、データベース暗号鍵の生成、保護、ライフサイクル管理のために、信頼の基点を提供します。 すべてのデータベースに一貫したセキュリティポリシーを適用することで、エラーが発生しやすい手作業を軽減できます。 ユーザーとアプリケーションのアクセスを管理することで、許可されたエンティティのみがデータを利用できるようになります。 また、一貫したセキュリティポリシーを確立することで、データ保護規制や業界の義務に対する監査とコンプライアンスが促進されます。
一般データ保護規則(GDPR)およびカリフォルニア州消費者プライバシー法(CCPA)などのデータ保護法、およびクレジットカード業界のデータセキュリティ基準(PCI DSS)などの業界標準は、機密データを保護するためのメカニズムとして暗号化を特に要求します。