適切な暗号化アプローチを選択する

フルディスク暗号化（FDE）と自己暗号化ドライブ（SED）はいずれも、データをディスクに書き込むときに暗号化し、データをディスクから読み取るときに復号する暗号化タイプです。

FDE/SEDのメリット：

• 暗号化を最も簡単に導入できる
• アプリケーションやデータベース、ユーザーに対して透過的
• 高性能なハードウェアベースの暗号化

FDE/SEDの制約：

• 対処できる脅威が非常に限定されている（ストレージメディアを物理的に紛失した場合の保護のみ）
• APT（高度で持続的な脅威）、悪意のある内部ユーザー、外部の攻撃者は防御できない
• 対応できるコンプライアンス要件は最小限
• きめ細かいアクセス監査ログを記録できない

重要ポイント：

• 主要なクラウドプロバイダーはFDEと同等の機能を提供しているが、付随する上記の制約も同じように当てはまる
• FDEは、紛失や盗難のリスクが非常に高いノートパソコンに適している。ただし、データセンターやクラウド環境で直面することの多いリスクには適していない。

Learn More:

• Analyst Resources:
  • Aberdeen short video: Selecting Encryption for “Data at Rest” in Back-End Systems
  • Aberdeen webinar: The Right Tools for the Job Encryption for Data at Rest in Back-End Systems

タレス eセキュリティ関連ソリューション：

• Vormetric エンタープライズ鍵管理 KMIPサーバとして機能し、オンプレミスFDEストレージ用の暗号化鍵を一元管理
• CipherTrustクラウド キー マネージャーマルチクラウドBYOKライフサイクル管理の運用効率を高め、一元的レポート機能によってコンプライアンス対応を効率化

ファイルレベル暗号化アプローチは、オペレーティングシステム内にインストールしたソフトウェアエージェントを使用してセキュリティ管理を実現します。エージェントは、ディスクに対するすべての読み取り/書き込みコールをインターセプトし、ポリシーを適用して、データを暗号化するか復号するかを判断します。また、高度なファイルレベル暗号化製品は、ユーザーおよび特権ユーザーに対する強力なポリシーベースのアクセス制御や、SIEMとの統合によるファイルアクセス ログ機能も備えています。

ファイルレベル暗号化のメリット：

• ユーザーやアプリケーションに対して透過的なため、組織は、アプリケーションをカスタマイズしたり、関連ビジネスプロセスを変更したりする必要がない
• 構造化データと非構造化データのいずれにも対応
• 特権ユーザーによる悪用/誤用を防ぐための強力な制御機能を確立できる
• ファイルアクセスに対するきめ細かいモニタリングログを備え、SIEMと統合してセキュリティインテリジェンスに活用することで、迅速にセキュリティ侵害を検出したり、コンプライアンスレポートを作成したりすることが可能

ファイルレベル暗号化の制約：

• 暗号化エージェントはオペレーティングシステムごとに異なるため、選択したソリューションが、Windows、Linux、Unixの幅広いプラットフォームをカバーしているかを確認することが重要

重要ポイント：

• 多くの組織にとって、ファイルレベル暗号化が最適なアプローチ幅広い保護機能により、大部分の使用例に対応可能で、導入や運用も容易

タレス eセキュリティ関連ソリューションおよび機能：

• Vormetric 透過暗号 構造化ファイルと非構造化ファイルの両方を暗号化し、強力な特権ユーザーアクセス制御機能を備える
• Vormetric セキュリティインテリジェンス ログ きめ細かいファイルアクセス モニタリング機能を備え、主要なSIEMと容易に統合可能

透過的データ暗号化（TDE）は、MicrosoftやOracleなど、一般的なデータベースベンダーごとに固有の暗号化機能です。

メリット：

• データベース内の機密データを保護できる
• Establishes悪意のある内部ユーザーを含め、さまざまな脅威に対する防御手段を確立できる

制約：

• あるデータベースベンダーの製品を他のベンダーのデータベースに適用することはできないため、トレーニングコストや運用コストが増加する
• 複数のベンダーのデータベース全体を一元管理することはできない
• 古いバージョンのデータベースはTDEをサポートしていない可能性があり、データ漏えいのリスクがある
• 暗号化の対象がデータベースのカラムやテーブルだけに限られるため、設定ファイルやシステムログ、レポートには依然として脆弱性が存在する

重要ポイント：

• データベース暗号化テクノロジーは、特定の限定的な要件に対応することはできるが、さまざまな製品が混在した環境全体のセキュリティを確保したり、データベースの外部にあるデータを保護したりすることはできない。そのため、組織内に重大なセキュリティギャップが生じる可能性がある。

タレス eセキュリティ関連ソリューション：

• Vormetric Data Security Platform offers several database security solutions.
• Vormetric Enterprise Key Management can be used to centralize the management of TDE cryptographic keys.

アプリケーションレイヤ暗号化は、既存のアプリケーションに対して、暗号化やトークナイゼーション、マスキング、その他各種の強力な暗号化機能を効率的に追加できるAPIを公開している製品スイートです。

メリット：

• 開発者に暗号化のスキルは不要暗号化機能やFIPS 140-2対応鍵管理用のAPIが公開されている
• データベース内の機密情報フィールドなど、データ内の対象となる部分を保護できる
• 暗号化と復号はアプリケーションレイヤで行われるため、データは、送信や保存を行う前に暗号化される
• 最高レベルのセキュリティを実現し、悪意のあるDBAやSQLインジェクション攻撃から保護できる
• トークナイゼーションにより、PCI DSSに対応するコストや管理上のオーバーヘッドも大幅に削減できる

制約：

• アプリケーションと統合する必要があるため、開発工数やリソースが必要になる

重要ポイント：

• セキュリティポリシーやコンプライアンス要件に応じて、特定のデータセットを保護する必要がある場合に最適
• トークナイゼーションやフォーマット保持暗号化などのアプリケーションレイヤでの暗号化のため、データベーススキーマの変更が不要で、データフォーマットを維持できる
• 完全に文書化された標準ベースのAPIとサンプルコードを使用したソリューションを利用すれば、アプリケーション開発が容易になる
• FIPS 140-2鍵管理により、コンプライアンスと強力なセキュリティを実現できる

タレス eセキュリティ関連ソリューション：

• Vormetric アプリケーション暗号 暗号化やフォーマット保持暗号化、その他各種の暗号化機能を既存のアプリケーションに簡単に追加できる
• Vormetric トークナイゼーション トークナイゼーションや動的データマスキング、その他各種の暗号化機能を既存のアプリケーションに簡単に追加できる
• Vormetric 一括データ変換 大規模なデータセットを暗号化したりトークン化したりする時間を短縮し、データセキュリティの導入や静的データマスキングを迅速に実現できる