適切な暗号化アプローチを選択する

適切な暗号化アプローチを選択する

最適なデータ暗号化ソリューションは、使用例や対応する脅威、許容できる導入環境の複雑度によって異なります。

経営者レベルでは、データ暗号化は、単純な二者択一の問題として見なされることがあります。つまり、データ暗号化を導入すれば会社の資産は安全で、暗号化しなければ大問題になる、といった認識です。しかし、機密資産の保護を担うセキュリティチームにとって、現実はそれほど単純ではありません。

どのタイプのデータ暗号化ソリューションが自社の要件に最適なのかを判断する上で、考慮事項がいくつかあります。データ暗号化タイプは、テクノロジースタック内のどこで使用されるのかによって大きく分類できます。テクノロジースタックには、一般的にデータ暗号化が使用される場所として4つのレベルがあります。

  • フルディスクまたはメディアの暗号化
  • ファイルシステムレベルの暗号化
  • データベースレベルの暗号化
  • アプリケーションレベルの暗号化

一般に、スタックの下位レベルで暗号化を導入する方が実装はシンプルで、既存環境への影響も少なくなります。ただしその場合、データ暗号化アプローチで対処できる脅威の数や種類も少なくなります。一方、スタックの上位レベルで暗号化を導入すると、通常はセキュリティレベルが向上し、多様な脅威に対応できるようになります。

適切な暗号化アプローチを選択する

スタックの上位レベルでデータ暗号化を実装すると、セキュリティは向上するが導入環境の複雑度も増す

フルディスク暗号化(FDE)と自己暗号化ドライブ(SED)はいずれも、データをディスクに書き込むときに暗号化し、データをディスクから読み取るときに復号する暗号化タイプです。

FDE/SEDのメリット:
  • 暗号化を最も簡単に導入できる
  • アプリケーションやデータベース、ユーザーに対して透過的
  • 高性能なハードウェアベースの暗号化
FDE/SEDの制約:
  • 対処できる脅威が非常に限定されている(ストレージメディアを物理的に紛失した場合の保護のみ)
  • APT(高度で持続的な脅威)、悪意のある内部ユーザー、外部の攻撃者は防御できない
  • 対応できるコンプライアンス要件は最小限
  • きめ細かいアクセス監査ログを記録できない
重要ポイント:
  • 主要なクラウドプロバイダーはFDEと同等の機能を提供しているが、付随する上記の制約も同じように当てはまる
  • FDEは、紛失や盗難のリスクが非常に高いノートパソコンに適している。ただし、データセンターやクラウド環境で直面することの多いリスクには適していない。
Learn More:
  • Analyst Resources:
    • Aberdeen short video: Selecting Encryption for “Data at Rest” in Back-End Systems
    • Aberdeen webinar: The Right Tools for the Job Encryption for Data at Rest in Back-End Systems
タレス eセキュリティ関連ソリューション:

ファイルレベル暗号化アプローチは、オペレーティングシステム内にインストールしたソフトウェアエージェントを使用してセキュリティ管理を実現します。エージェントは、ディスクに対するすべての読み取り/書き込みコールをインターセプトし、ポリシーを適用して、データを暗号化するか復号するかを判断します。また、高度なファイルレベル暗号化製品は、ユーザーおよび特権ユーザーに対する強力なポリシーベースのアクセス制御や、SIEMとの統合によるファイルアクセス ログ機能も備えています。

ファイルレベル暗号化のメリット:
  • ユーザーやアプリケーションに対して透過的なため、組織は、アプリケーションをカスタマイズしたり、関連ビジネスプロセスを変更したりする必要がない
  • 構造化データと非構造化データのいずれにも対応
  • 特権ユーザーによる悪用/誤用を防ぐための強力な制御機能を確立できる
  • ファイルアクセスに対するきめ細かいモニタリングログを備え、SIEMと統合してセキュリティインテリジェンスに活用することで、迅速にセキュリティ侵害を検出したり、コンプライアンスレポートを作成したりすることが可能
ファイルレベル暗号化の制約:
  • 暗号化エージェントはオペレーティングシステムごとに異なるため、選択したソリューションが、Windows、Linux、Unixの幅広いプラットフォームをカバーしているかを確認することが重要
重要ポイント:
  • 多くの組織にとって、ファイルレベル暗号化が最適なアプローチ幅広い保護機能により、大部分の使用例に対応可能で、導入や運用も容易
タレス eセキュリティ関連ソリューションおよび機能:

透過的データ暗号化(TDE)は、MicrosoftやOracleなど、一般的なデータベースベンダーごとに固有の暗号化機能です。

メリット:
  • データベース内の機密データを保護できる
  • Establishes悪意のある内部ユーザーを含め、さまざまな脅威に対する防御手段を確立できる
制約:
  • あるデータベースベンダーの製品を他のベンダーのデータベースに適用することはできないため、トレーニングコストや運用コストが増加する
  • 複数のベンダーのデータベース全体を一元管理することはできない
  • 古いバージョンのデータベースはTDEをサポートしていない可能性があり、データ漏えいのリスクがある
  • 暗号化の対象がデータベースのカラムやテーブルだけに限られるため、設定ファイルやシステムログ、レポートには依然として脆弱性が存在する
重要ポイント:
  • データベース暗号化テクノロジーは、特定の限定的な要件に対応することはできるが、さまざまな製品が混在した環境全体のセキュリティを確保したり、データベースの外部にあるデータを保護したりすることはできない。そのため、組織内に重大なセキュリティギャップが生じる可能性がある。
タレス eセキュリティ関連ソリューション:

アプリケーションレイヤ暗号化は、既存のアプリケーションに対して、暗号化やトークナイゼーション、マスキング、その他各種の強力な暗号化機能を効率的に追加できるAPIを公開している製品スイートです。

メリット:
  • 開発者に暗号化のスキルは不要暗号化機能やFIPS 140-2対応鍵管理用のAPIが公開されている
  • データベース内の機密情報フィールドなど、データ内の対象となる部分を保護できる
  • 暗号化と復号はアプリケーションレイヤで行われるため、データは、送信や保存を行う前に暗号化される
  • 最高レベルのセキュリティを実現し、悪意のあるDBAやSQLインジェクション攻撃から保護できる
  • トークナイゼーションにより、PCI DSSに対応するコストや管理上のオーバーヘッドも大幅に削減できる
制約:
  • アプリケーションと統合する必要があるため、開発工数やリソースが必要になる
重要ポイント:
  • セキュリティポリシーやコンプライアンス要件に応じて、特定のデータセットを保護する必要がある場合に最適
  • トークナイゼーションやフォーマット保持暗号化などのアプリケーションレイヤでの暗号化のため、データベーススキーマの変更が不要で、データフォーマットを維持できる
  • 完全に文書化された標準ベースのAPIとサンプルコードを使用したソリューションを利用すれば、アプリケーション開発が容易になる
  • FIPS 140-2鍵管理により、コンプライアンスと強力なセキュリティを実現できる
タレス eセキュリティ関連ソリューション:
  • Vormetric アプリケーション暗号 暗号化やフォーマット保持暗号化、その他各種の暗号化機能を既存のアプリケーションに簡単に追加できる
  • Vormetric トークナイゼーション トークナイゼーションや動的データマスキング、その他各種の暗号化機能を既存のアプリケーションに簡単に追加できる
  • Vormetric 一括データ変換 大規模なデータセットを暗号化したりトークン化したりする時間を短縮し、データセキュリティの導入や静的データマスキングを迅速に実現できる

アプリケーション暗号化

White Paper : A common platform for database encryption: lower cost, reduced risk

Most enterprises rely on a diverse database infrastructure to meet specific business objectives, but this complexity increases risk and costs. With databases housing our most sensitive and highly regulated information, organizations need better database security strategies.

Download

White Paper : The Enterprise Encryption Blueprint

Download this white paper to be set in the right direction to discover, define and deploy the enterprise data encryption strategy that is best for your organization.

Download

White Paper : Cracking the Confusion: Encryption and Tokenization for Data Centers, Servers and Applications by Securosis

This paper cuts through the confusion to help you pick the best encryption and tokenization options for your projects. The focus is on encrypting in the data center and IaaS: applications, servers, databases, and storage.

Download
インタラクティブなデモを閲覧する デモ
ライブデモの申し込み デモの申し込み
スペシャリストへのコンタクト お問い合わせ