Transcript SQL Server 2005 を使用したデータ セキュリティの向上

SQL Server 2005 を使用したデータ
セキュリティの向上
公開日 :
2005 年 10 月
SQL Server 2005 の暗号化を使用した
データの保護
ソリューションの概要
状況
●
Microsoft IT によるデータベース セキュリティ フレームワークの再評価
ソリューション
●
SQL Server 2005
利点
●
●
●
●
使いやすく、かつ堅牢なキー管理フレームワーク
アプリケーションの機密データの暗号化
ビュー内でのデータの復号化
簡単なデータの暗号化
製品とテクノロジ
●
SQL Server 2005
法的な要件の概要
●
●
Microsoft のセキュリティ フレームワークは、
個人情報の保存に関する連邦法、州法、およ
び国際法を遵守する必要がある
要件は複数のデータベース操作に影響を及ぼ
す
データ暗号化の概要
●
●
●
●
機密データの最終的なセキュリティの防壁
は、通常はデータの暗号化である
暗号化はプロセッサの負荷を増加させ、記
憶領域を使用する
暗号化ではキー管理が必要である
対称暗号化 :
●
●
●
高速
1 つのキーを使用
否認防止を提供しない
データ暗号化の概要
●
非対称暗号化 :
●
●
●
●
キーのペアを使用
対象暗号化よりも時間がかかる
機密性と否認防止を提供
ハイブリッド暗号化 :
●
対称暗号化の高速さと非対称暗号化の強力なセ
キュリティを活用
アプリケーション環境
●
●
●
Microsoft IT では、データベース関連のすべて
の LOB アプリケーションの SQL Server 2005
へのアップグレードを実施している
政府および情報セキュリティの要件に対応した
データベース ストレージ ソリューションの分析
3 とおりのデータベース システムに対応した分
析
ソリューション : SQL Server 2005 の暗号
化機能
●
●
多数のセキュリティ関連機能を搭載
3 とおりの暗号化をサポートし、それぞれが異
なったキーと複数の暗号化アルゴリズムを使
用
ソリューション : SQL Server 2005 の暗号
化機能
Operating system level
Windows DPAPI
DPAPI encrypts Service Master Key
SQL Server 2005 instance level
Service Master Key
Service Master Key encrypts Database Master Key
SQL Server 2005 database level
Database Master Key
Asymmetric
keys
Certificates
Symmetric keys
Symmetric keys
Symmetric keys
Data
Data
Data
ソリューション : SQL Server 2005 の暗号
化機能
●
暗号化と復号化に必要な要素 :
●
●
●
非対称暗号化を使用する方法である証明書
非対称キー
暗号化の階層で適切な順序で開く必要のある対称
キー
FeedStore
Publishers
Linked servers
Replication
Flat files
Subscribers
FeedStore
Distribution
Servers
FeedStore
User acct
Service acct
Batch acct
FeedStore の戦略
●
●
●
機密データが複製され、複数の場所に保存さ
れた
すべての保存場所でのデータの暗号化には膨
大なコストがかかる
専用のストアでのデータの統合と暗号化が最
善の戦略である
FeedStore の戦略
Publishers
Linked servers
Replication
Flat files
Subscribers
Sensitive
data
FeedStore
Distribution
servers
Encrypted
store
Sensitive
data
FeedStore の戦略
●
●
●
フィードを再構成して、アクセスが不要なアプリ
ケーションから機密データを削除
特定のアプリケーションを再構成して、専用の
暗号化ストアから機密データを取得
機密データを確実に使用できる状態で維持
Digital Asset Store の試験運用
●
●
●
●
SQL Server 2005 を使用した集中的な暗号化
ストアの作成
ビジネス要件とビジネス目標の作成
現在の情報の分類
機密データをアプリケーションで使用可能な状
態にしておくための計画と監視
Digital Asset Store の試験運用
●
●
LOB アプリケーション空間の機密データ要素
と個人情報について FeedStore に関するいく
つかの処置を取る
パブリッシャを構成して機密データを Digital
Asset Store に送信する
Digital Asset Store の試験運用
Push
SAP or
file source
Drop
Pull
Flat file
location
FeedStore
Pick up
Digital Asset Store の試験運用
Push
SAP or
file source
Pull
Digital Asset
Store
Digital Asset Store の試験運用
Key 1
Key 2
Encrypted channel
Data
Server 1
SQL Server 2005
Server 2
SQL Server 2005
Digital Asset Store の試験運用
●
インライン変換 :
●
●
●
実行時に機密データをビジネス間のデータ フィード
に挿入
機密データのアクセス、保存、および転送が可能
なインスタンス数を削減
機密データ専用の暗号化ストアの使用
Digital Asset Store の試験運用
Plaintext
SQL Server
2005
symmetric key
encryption
Ciphertext
Digital Asset
Store
Certificate-based
encryption
Encrypted
symmetric
key
Digital Asset Store の試験運用
Certificate-based
decryption
Encrypted
symmetric
key
Decrypted
symmetric key
Digital Asset
Store
Plaintext
Data
Subscriber processing
Data dissipation
Data
Encrypted channel
Payroll Controls Reporting System (給
与管理レポート システム)
PCRS data warehouse
Payroll information
Payroll information
SAP
Processing
Excel reports
Report generation
FeedStore
Access reports
Payroll Controls Reporting System (給
与管理レポート システム)
●
●
●
SQL Server 2005 の暗号化を使用するため
の PCRS アプリケーションの変更
ローカルな PCRS データベースでの暗号化の
実装
暗号化キーのバックアップ、保守、および復元
をテストするためのデータベースのプロトタイプ
の実装
Payroll Controls Reporting System (給
与管理レポート システム)
Employee table
Full name
Personnel number
Social Security number
PCRS_Encryption
SELECT
Stored procedure
INSERT
Stored procedure
Payroll Controls Reporting System (給
与管理レポート システム)
●
●
●
簡単かつ堅牢な SQL Server 2005 の暗号化
キー階層を作成する手順
データベース スキーマを変更して、テーブルの
機密データを暗号化する手順
関数を使用して暗号化されたデータにアクセス
するためにストアド プロシージャを更新する手
順
Payroll Controls Reporting System (給
与管理レポート システム)
●
●
●
●
SQL Server ロールのアクセス許可の構成
データベース マスタ キー、SQL Server 2005
証明書、および対称キーのバックアップ
データベースのバックアップ
現実のシナリオでのデータベースのテスト
Metropolis
●
●
●
フロントエンド ツール、XML ベースの第 2 層、
SQL Server 2005 ベースの第 3 層で構成さ
れているアプリケーション
Microsoft では DPAPI を機密データのセキュ
リティ メカニズムとして使用可能
Metropolis の機密データを保存するために
Services IT が作成した管理データベース
Metropolis
Operating System level
DPAPI
DPAPI encrypts Service Master Key
SQL Server 2005 instance level
Service Master Key
Service Master Key encrypts Database Master Key
SQL Server 2005 database level
Database Master Key
SQL Server
2005 certificate
Requires Key Master
permission
Stored procedure to
decrypt data
Digitally signs
stored procedure
Encrypts symmetric key
Stored procedure to
encrypt data
Decrypts symmetric key
Decrypts symmetric key
Symmetric key
Encrypts data
Data
Metropolis
●
●
●
DPAPI を使用したサービス マスタ キーの暗
号化によるセキュリティ要件への対応
証明書を使用して、データを暗号化するストア
ド プロシージャにデジタル署名を付加する暗
号化フレームワーク
アクセス許可フレームワークの構成を可能に
する証明書
ベスト プラクティス
●
暗号化フレームワークのキー管理の重要性
●
●
●
●
キーの生成
キーの使用
キーのバックアップ
キーの再生成
ベスト プラクティス
●
暗号化の使用を機密データだけに制限する
●
●
●
暗号化がパフォーマンスに与える影響を検討
外部ソースが暗号化されたデータにアクセスする
必要があるかどうかを検討
プレーンテキストに対する暗号テキストのサイズの
増加を検討
まとめ
●
●
●
Microsoft IT の LOB アプリケーション空間の
セキュリティ フレームワークの再検討
暗号化フレームワークと Digital Asset Store
試験運用による FeedStore セキュリティの強
化
SQL Server 2005 のキー管理メカニズムと列
レベルの暗号化による Microsoft のデータ セ
キュリティの強化
詳細情報
●
Microsoft IT の展開およびベスト プラクティ
スに関する追加のコンテンツについては、以
下のページを参照
http://www.microsoft.com/japan/
●
Microsoft TechNet
http://www.microsoft.com/japan/technet/itsolutions/msit/def
ault.mspx
●
Microsoft ケース スタディ リソース
http://www.microsoft.com/japan/showcase/
このドキュメントに記載された内容は情報提供のみを目的としており、
明示または黙示にかかわらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。
© 2005 Microsoft Corporation. All rights reserved.
このプレゼンテーションに記載された内容は情報提供のみを目的としており、明示または黙示にかかわらず、これらの情報についてマイクロソフトはいか
なる責任も負わないものとします。Microsoft、Excel、Win32、および Windows は、米国 Microsoft Corporation の米国およびその他の国における
登録商標または商標です。記載されている会社名、製品名には、各社の商標のものもあります。