よくある質問

すべて開く すべて閉じる

回答

  • 透過的データ暗号化(TDE)にはどのような機能がありますか?

    TDEは、Oracle Databaseに保管されているデータを透過的に暗号化します。オペレーティング・システムが、ファイルに格納されたデータベース・データに権限なくアクセスしようとすることを阻止します。アプリケーションがSQLを使用してデータにアクセスする方法には影響を与えません。TDEは、アプリケーションの表領域全体、あるいは機密性の高い特定の列を暗号化できます。TDEはOracleのデータベースと完全に統合されています。暗号化されたデータは、データが表領域ストレージファイル、一時表領域、UNDO表領域、あるいはREDOログなどのOracle Databaseが使用する他のファイルのいずれにあっても、データベース内で暗号化されたままになります。さらに、TDEでは、データベースのバックアップ(RMAN)およびData Pumpのエクスポート全体を暗号化することもできます。 

  • TDEはビジネス・アプリケーションに対してどの程度透過的ですか?

    TDEはビジネス・アプリケーションに対して透過的であり、アプリケーションの変更を必要としません。暗号化および復号化は、データベース記憶域レベルで発生し、アプリケーションが使用するSQLインタフェース(インバウンドSQL文にもアウトバウンドのSQL問合せの結果にも)に影響はありません。   

    TDEは一般的なパッケージ・アプリケーションでの使用向けに認定されています。これらの認定は、主に、さまざまなアプリケーション・ワークロードでのTDEのパフォーマンスをプロファイリングするため、またアプリケーションのデプロイメントのヒント、スクリプト、ベスト・プラクティスを取得するためのものです。一部のアプリケーション・ベンダーはより緊密な統合を行い、独自のツールキットを使用したTDE構成ステップを提供しています。

  • TDE列暗号化またはTDE表領域暗号化を使用する必要がありますか?

    TDE表領域暗号化を使用することをお勧めします。TDE表領域暗号化は、ほとんどの場合、より一貫性のある優れたパフォーマンス特性を備えています。さらに、特に表領域暗号化は、可能であればハードウェアベースの暗号化スピードを活用し、パフォーマンスへの影響を'ゼロに近い'範囲にまで最小化します。ハードウェアベースの暗号化スピードのサポートは、AES-NIおよび最新のOracle SPARCプロセッサを搭載したIntelチップセット用のOracle Database 11gリリース2パッチセット1(11.2.0.2)以降で利用できます。

    Oracle Databaseのバージョンに固有のTDE列暗号化の詳細については、Oracle Databaseの製品ドキュメントの「セキュリティ」の下にあるAdvanced Securityガイドをご覧ください。製品ドキュメントは こちらから入手できます。

  • TDE関連のオーバーヘッドは何ですか?
     
      TDE表領域暗号化(Oracle Database 11g +)
    ストレージ ストレージ・オーバーヘッドの増加はありません。
    パフォーマンス 内部ベンチマークと本番ワークロードを行っているお客様からのフィードバックによると、パフォーマンスのオーバーヘッドは通常1桁です。Oracle Database 11gリリース2パッチセット1(11.2.0.2)以降、新しいIntelプロセッサで利用可能なAES-NIに基づくハードウェア暗号化スピードがTDE表領域暗号化によって自動的に活用されます。それによって、TDE表領域暗号化は'影響がゼロに近い'暗号化ソリューションになります。
  • TDEの暗号化アルゴリズムの代わりにサードパーティの暗号化アルゴリズムを使用することは可能ですか?

    いいえ、他の暗号化アルゴリズムをプラグインすることはできません。オラクルは、広く認められている暗号化アルゴリズムを提供しており、新しい標準アルゴリズムが利用可能になれば追加します。

    Oracle Database 18c以降、ユーザー定義のマスター暗号化キーを作成できます。 TDEマスター暗号化キーをデータベースで常に生成する必要はありません。これは、業界ではキー持参(BYOK)と呼ばれています。

    BYOKの詳細については、Oracle Databaseの製品ドキュメントの「セキュリティ」の下にあるAdvanced Securityガイドをご覧ください。製品ドキュメントは こちらから入手できます。

  • TDEはどのデータ型とデータ長をサポートしていますか?

    TDE表領域暗号化に制限はありません。

    TDE列暗号化の制限については、Oracle Databaseの製品ドキュメントの「セキュリティ」の下にあるAdvanced Securityガイドの「About Encrypting Columns in Tables(表の列の暗号化について)」のセクションをご覧ください。製品ドキュメントは こちらから入手できます。

  • データの暗号化はネットワーク上でも維持されますか?

    TDEで暗号化されたデータは、データベースファイルから読み取られるときに復号化されます。このデータがネットワーク上に移動すると、クリアテキストになります。ただし、転送中のデータはオラクルのネイティブのネットワーク暗号化またはTLSを使用して暗号化できます。これにより、SQL*Netを介してOracle Databaseとの間でやり取りされるすべてのデータが暗号化されます。

  • 暗号化するデータを知るにはどうすればよいですか?

    どんな場合でもデータベースに保存されている機密データを把握するに越したことはありません。そのために、オラクルでは、Oracle Database Security Assessment Tool、Enterprise Manager Application Data Modelling、あるいは、クラウドにOracle Databaseがある場合はData Safeを提供しています。このような把握はコントロールをさらに適用してデータを保護するために重要ですが、暗号化プロジェクトを始めるために不可欠というわけではありません。暗号化/復号化操作を加速するチップセットの最新の進歩、進化する規制環境、および進化し続ける機密データの概念によって、ほとんどのお客様は表領域暗号化を使用してすべてのアプリケーション・データを暗号化し、マスター暗号化キーをOracle Key Vaultに格納しています。

  • TDEはオラクルがすでに提供している暗号化ツールキットとどのように異なりますか?

    DBMS_CRYPTOパッケージを使用して、データベース内のデータを手動で暗号化できます。ただし、アプリケーションがAPIを呼び出して暗号化キーを管理し、必要な暗号化操作と復号化操作を実行する必要があります。このアプローチでは管理に多大な労力が必要であり、パフォーマンスのオーバーヘッドが発生します。 TDE表領域暗号化はアプリケーションに変更を加える必要がなく、エンドユーザーに対して透過的であり、自動化された組み込みのキー管理を提供します。

キー管理

  • TDE暗号化鍵はどのように管理されますか?

    TDE列暗号化とTDE表領域暗号化はどちらも2層のキーベース・アーキテクチャを使用します。セキュリティ攻撃を試みる侵入者などの許可されていないユーザーは、データを復号化するためのTDEマスター暗号化キーを持っていない限り、ストレージからデータを読み取ったり、メディアをバックアップしたりすることはできません。 

    TDEマスター暗号化キーは、外部セキュリティ・モジュール(ソフトウェアまたはハードウェアのキーストア)に保存されます。デフォルトでは、TDEはマスターキーをOracle Wallet(PKCS#12標準に基づくキー・ストレージ・ファイル)に格納します。ウォレットは、暗号化された少数のデータベース向けの容易なソリューションです。多くのOracleデータベースや他の暗号化されたOracleサーバーを利用するお客様は、エンタープライズ向けに鍵およびウォレットを一元管理する機能を提供する、セキュリティが強化されたソフトウェア・アプライアンスである Oracle Key Vaultのライセンスを所有して活用することができます。Oracle Key Vaultは、業界標準のOASIS Key Management Interoperability Protocol(KMIP)を通信に使用します。お客様は、ローカルのOracleウォレットおよびJavaキーストアを定期的にバックアップする一元的な場所としてKey Vaultを使用し、これらを保持するか、常時オンのKey Vault接続を優先するためにご使用の環境からキーストア・ファイルを完全に削除することができます。Key Vaultとデータベースサーバー間のすべてのネットワーク接続は暗号化され、SSL/TLSを使用して相互に認証されます。TDEマスター鍵は、停止時間を発生させることなく、かつ格納されたデータを再度暗号化する必要もなく、セキュリティポリシーに従って定期的にローテーションすることができます。以前のマスター鍵は、暗号化されたデータベース・バックアップを後でリストアする必要が生じた場合に備えて、キーストアで保持されます。キーストア内のマスター鍵は、一連のSQLコマンドを使用して管理されます(Oracle Database 12cで導入)。役割を分離するために、これらのコマンドは、新しいSYSKM管理権限またはそれ以上の権限を持つセキュリティ管理者のみがアクセスできるようになっています。SQLコマンドの使用に加えて、Oracle Enterprise Manager 12cまたは13cを使用してTDEマスター鍵を管理することができます。

標準およびコンプライアンス

  • TDEではどのような暗号化アルゴリズムを使用できますか?

    TDEは、AES256、AES192(TDE列暗号化のデフォルト)、AES128(TDE表領域暗号化のデフォルト)、ARIA128、ARIA192、ARIA256、GOST256、SEED128、および3DES168をサポートしています。

  • TDEはどの業界標準を使用していますか?

    TDEのマスター鍵管理では、Oracleウォレット・キーストア向けにPKCS#12およびPKCS#5などの標準を使用します。Oracle Key Vaultでは、OASIS Key Management Interoperability Protocol(KMIP)およびPKCS #11標準を通信に使用しています。お客様は、優先キーストアとして、OracleウォレットまたはOracle Key Vaultを選択できます。

  • TDEにはどのセキュリティ認定および検証がありますか?

    TDEがOracle Database 19cで使用している暗号化ライブラリは、米国のFIPS 140-2に準拠することが認められています。このライブラリのFIPS 140証明書については、こちらを参照してください(テキスト"Crypto-C Micro Edition"を検索してください。TDEではバージョン4.1.2を使用しています)。また、Oracle Databaseの認定および検証に関する最新のサマリー情報については、こちらを参照してください。

クロスコンポーネント統合

  • TDEはOracle Exadataとどのように統合されていますか?

    TDE表領域暗号化では、パフォーマンスをさらに強化するためにOracle Exadataを活用しています。たとえば、Exadata Smart Scanでは、複数のストレージセルにわたって暗号化を並列処理するため、暗号化データでの問合せが高速化します。また、TDEはExadataのサーバープロセッサ上のハードウェア暗号化アクセラレーションのサポートによるメリットも得られます。TDEのExadata Hybrid Columnar Compression(EHCC)との統合では、データを最初に圧縮するため、暗号化および復号化するデータの総量が大幅に削減されることにより、暗号化のパフォーマンスが向上します。

  • TDEは他の保管データ暗号化テクノロジーと組み合わせることができますか?

    以下の表に示すとおり、オラクルは、非構造化ファイルデータ、オラクル以外のデータベースのストレージファイルなどを保護するためにTDEと組み合わせることができる、追加の保管データ暗号化テクノロジーを提供しています。

    その他の暗号化テクノロジー

    使用事例 オラクルテクノロジー
    オラクルのファイルシステムおよびオペレーティング・システムを使用した、
    ファイル(表領域以外)の暗号化
    • Oracle ZFS - Solarisやその他のオペレーティング・システム向けの暗号化ファイルシステム
    • Oracle ACFS - Oracle Automatic Storage Management(Oracle ASM)上で実行される暗号化ファイルシステム
    • dm-cryptおよびeCryptFSを含むOracle Linuxネイティブの暗号化モジュール
    Oracle Databaseを使用した、ファイル(表領域以外)の暗号化 
    • TDEと組み合わせたOracle Secure Files。Secure File LOBのサポートはデータベースのコア機能です。
    データベース層でのプログラムによるデータ暗号化
    • PL/SQLを使用してデータベース列を暗号化するためのOracle Databaseパッケージ暗号化ツールキット(DBMS_CRYPTO)。
    アプリケーション層でのプログラムによるデータ暗号化
    • Oracle Java(JCA/JCE)。アプリケーション層の暗号化では、データベースの特定の問合せ機能が制限される場合があります。事前にユースケースへの適合性を考慮してください。

    オラクルは、アプリケーション層で機密データを暗号化するソリューションを提供しています。ただし、事前に考慮すべきデータベースへの影響があります(詳しくは、こちらを参照してください)。TDEは、Oracle Databaseの表領域ファイルに格納されたデータを暗号化するために推奨されている唯一のソリューションです。

  • Oracle RMANは暗号化されたデータをどのように処理しますか?

    Oracle Transparent Data EncryptionとOracle RMAN

    アプリケーション・データ RMAN圧縮によるバックアップ RMAN暗号化によるバックアップ RMAN圧縮および暗号化によるバックアップ
    暗号化なし 圧縮データ 暗号化データ 圧縮されてから暗号化されたデータ
    TDE列暗号化で暗号化 圧縮データ。暗号化された列は暗号化されていないかのように処理 暗号化データ。暗号化された列の二重暗号化 圧縮されてから暗号化されたデータ。暗号化された列は暗号化されていないかのように処理。暗号化された列の二重暗号化
    TDE表領域暗号化で暗号化 暗号化された表領域の復号化、圧縮、および再暗号化 暗号化表領域が変更されずにバックアップに渡される 暗号化された表領域の復号化、圧縮、および再暗号化

    ファイルの暗号化にTDEマスター暗号化キーまたはパスフレーズが使用されているかどうかに関係なく、ディスクへのRMANバックアップを暗号化するにはOracle Advanced Securityライセンスが必要です。

  • トランスポータブル表領域はTDE表領域暗号化と連動しますか?

    はい。ただし、マスター鍵を含むウォレットをセカンダリ・データベースにコピーする(または、たとえばOracle Key Vaultを使用して使用できるようにする)必要があります。表領域が移動されてマスターキーが使用できない場合、表領域のデータにアクセスするとセカンダリ・データベースはエラーを返します。

  • 圧縮はTDEと連動しますか?

    TDE表領域暗号化を使用しているお客様はデータブロックが暗号化される前に圧縮が適用されるため、圧縮(標準およびAdvanced Compression、およびExadata Hybrid Columnar Compression(EHCC))のメリットを最大限に活用できます。TDE列暗号化を使用しているお客様は、暗号化されていないテーブル列でのみ圧縮のメリットを最大限に活用できます。TDE列暗号化を使用して暗号化された各テーブル列は高度な圧縮プロセスの前にSQLレイヤーで暗号化が行われるため、圧縮レベルがはるかに低くなります。

ベスト・プラクティス

  • 既存のクリアデータをTDE暗号化データにどのように移行できますか?

    TDEでは、既存のクリアデータを暗号化された表領域または列に移行するための複数の手法を提供しています。オンライン移行とオフライン移行の両方のソリューションが利用可能です。本番システム上で無停止のまま、既存の表領域をオンラインで暗号化できます。または、メンテナンス期間中、ストレージのオーバーヘッドを生じさせずに、オフラインで暗号化することもできます。オンラインの表領域変換は、Oracle Database 12.2.0.1以上で利用できる一方、オフラインの表領域変換は、Oracle Database 11.2.0.4および12.1.0.2にバックポートされています。

    また、Oracle Online Table Redefinition(DBMS_REDEFINITION)によって、既存のクリアデータを暗号化された新しい表領域にコピーすることもできます。停止時間なしで、バックグラウンドでコピーします。このアプローチは、11gおよび12cのデータベースで機能します。このアプローチには、Oracle Database 12c製品ドキュメントに記載されている、一定の制限が含まれます。Oracle Data Guardをご利用のお客様は、Data GuardおよびOracle Data Pumpを使用して、停止時間ほぼゼロで既存のクリアデータを暗号化することができます(詳しくは、こちらを参照してください)。この手順では、最初にスタンバイで暗号化し(DataPump Export/Importを使用)、スイッチオーバーを実行してから、新しいスタンバイで暗号化します。データベースの停止時間は、Data Guardのスイッチオーバーを実行する時間に限られます。進行中に複数の同期点があることにより、プロセス中に実行された問合せからデータの更新が取得されます。スケジュールされたメンテナンス期間中に暗号化表領域にオフラインで移行する予定である場合、Data Pumpを使用して一括で移行することができます。また、ALTER TABLE MOVE、ALTER INDEX REBUILD(索引を移動するため)、CREATE TABLE AS SELECTといったSQLコマンドを使用して個々のオブジェクトを移行することもできます。TDE列暗号化では、ALTER TABLE MODIFYなどの単一のSQLコマンドを使用して、バックグラウンドで既存のクリア列を暗号化することができます。これは、完全なオンライン操作です。

その他の質問

  • TDEは、PKSC11インタフェースを使用してマスター暗号化キーを外部デバイスに保存できますか?

    Oracle Database 11gリリース2以降、Oracle Advanced Security Transparent Data Encryption(TDE)は、オプションで、PKCS11インタフェースを使用してTDEマスター暗号化キーを外部デバイスに保存できます。この設定では、マスターキーは付属のOracle Walletではなく、サードパーティのデバイスに直接保存されます。

    PKCS11を使用する場合、サードパーティ・ベンダーによって、ストレージデバイス、PKCS11ソフトウェア・クライアント・ライブラリ、デバイスからPKCS11クライアント(データベースサーバーで実行される)へのセキュアな通信、認証、監査、およびその他の関連機能が提供されます。ベンダーは、テストと、多様なデータベースサーバー環境および構成でのTDEマスター暗号化鍵に関する高可用性の確保についても責任を負います。関連する問題のサポートが必要な場合、デバイスベンダーにお問い合わせいただく必要があります。

  • TDEのライセンスはどのようになっていますか?

    TDEはOracle Advanced Securityの一部であり、Data Redactionも含まれています。これは、Oracle Database Enterprise Editionの追加ライセンスオプションとして利用できます。Oracle Autonomous DatabasesおよびDatabase Cloud Servicesにはデフォルトで含まれ、構成され、有効になっています。

  • TDEの詳細はどこから入手できますか?

    TDEのメリットについて詳しくは、Oracle Technology Networkの製品ページを参照してください。製品データシート、お客様事例、ビデオ、チュートリアルなどを含む、幅広い有用な情報をこのページでご覧ただけます。

    特定のOracle Databaseバージョンのその他のベスト・プラクティスについては、Oracle Databaseの製品ドキュメントの「セキュリティ」の下にあるAdvanced Securityガイドをご覧ください。製品ドキュメントは こちら。から入手できます。 

お客様の成功事例