データベースの暗号化
DBの暗号化についてネットで情報収集しようと思ったけど、意外にないのな。
個人的にDBの暗号化は、避けられるものであれば全力で避けたいと思っている。
DBの暗号化で対処したいリスクって、DBAによる内部犯行であったり、DBサーバそのものが盗難にあったり、ディスクの交換の時に保守担当ベンダーにデータ取られるとか、まあそんなとこだと思うけど、これってDBの暗号化以外でも対策って取れますよね。通信経路上での盗聴はまたレイヤが違うと思うし。
DBは一番ボトルネックになりやすいところなので、なるべく処理が重くなること間違いなしの暗号化は避けたいところ。
日経SYSTEMの2007/3号にDB暗号化の性能検証を行った結果が掲載されている。以下のページで購入できる。
検証ラボ DB暗号化のオーバーヘッド
http://bizboard.nikkeibp.co.jp/kijiken/summary/20070305/NOS0167H_928803a.html
以下、データベースの暗号化にまつわる一般情報。ベンダーの製品情報はほとんど割愛。
情報漏洩対策:顧客データベース暗号化に関する実態調査
http://www.ciphergate.co.jp/company/release_20060904.html
データベースセキュリティガイドライン
http://www.db-security.org/report/dbsc_guideline01_ver1.0.pdf
DBセキュリティ 製品別機表能対応表
http://www.db-security.org/wgimpl_seika.html
情報漏洩を防ぐ Oracleデータベース・セキュリティの実装
※富士通のサーバ上で、データを暗号化した上で性能検証を行った結果が掲載されている。
http://software.fujitsu.com/jp/oracle/brochures/ssi-security-open-01.pdf
DBMSの機能でデータを暗号化してはいけない
http://itpro.nikkeibp.co.jp/article/COLUMN/20070820/279923/
以下、官公庁系の情報。
各府省の情報システム調達における暗号の利用方針(平成15年2月28日)
http://www.meti.go.jp/kohosys/press/0003876/3/030331ango-houkokusyo3.pdf
暗号調達のためのガイドブック(平成15年3月)
http://www.meti.go.jp/kohosys/press/0003876/2/030331ango-houkokusyo2.pdf
暗号技術検討会2005年度報告書(2006年3月)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/cryptrec2005.pdf
経済産業省、暗号技術評価関連
http://www.meti.go.jp/policy/netsecurity/crypt.htm