Oracle Database 11gがインストールされていること。

エディタを使用して、 $ORACLE_HOME/network/adminディレクトリの sqlnet.oraファイルを開きます。

sqlnet.ora ファイルを更新して、 ENCRYPTED_WALLET_LOCATIONのエントリを含めます。 以下のコマンドを追加します。

                                           
                                             
ENCRYPTION_WALLET_LOCATION= 
(SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=<oracle_home>)))
                                          
                                        

<oracle_home>はOracleホーム・ディレクトリ（例、/u01/app/oracle/product/11.1.0/db_1）です。

変更を保存し、ファイルを閉じます。

注：暗号化ウォレットの格納場所はどのディレクトリでも選択できますが、DBのインストール時に作成される標準の分かりにくいウォレット（ cwallet.sso）と同じ場所にはしないでください。

次に、ウォレットを開いてマスター暗号化キーを作成します。 SQL*Plusセッションを開き、以下のコマンドを実行します。

                                           
                                             
connect / as sysdba
alter system set key identified by "welcome1"; 
                                          
                                        

上記のalterコマンドは、以下を実行します。

	指定されたディレクトリ内に暗号化ウォレットが存在しない場合、暗号化ウォレットが作成されます（ ewallet.p12）。その後ウォレットが開かれ、TDEのマスター鍵が作成または再作成されます。
	指定されたディレクトリ内に暗号化ウォレットが存在する場合、ウォレットが開かれTDEのマスター鍵が作成または再作成されます。

注：' alter system'の権限を持つユーザーのみが、マスター鍵を作成してウォレットを開くことができます。

新しい暗号化キーでデータを再暗号化しない限り、マスター鍵の作成は一度のみ行われます。

一度上記コマンドで暗号化ウォレットを作成した後は、上記コマンドを再実行しないでください。データベース再起動後にはウォレットを開く必要がありますが、新しいマスター鍵を作成する必要はありません。 ウォレットを開く場合のコマンドは以下のとおりです。

                                           
alter system set wallet open identified by "welcome1";
                                        

マスター暗号化キーは、各表がそれぞれの暗号化キーを持っているため必要です。 これらの列キーは、データベース内に格納されます。 ウォレットに保存できるキーの数には制限があり、あまり拡張性がないため、列キーはマスター鍵で暗号化します。 この方法であれば、必要なだけ列キーを持つことができ、ウォレット内に格納されたマスター鍵（古いバックアップ・テープのデータを復号化する場合に必要となる古いキーを含む）の数を少なく抑えることができます。 デフォルトにおいて、上記のコマンドでは192ビットAdvanced Encryption Standard（AES192）を使用してキーを生成します。 3DESも使用できるほか、小さいビット数または大きいビット数のAES暗号化も使用できます。

Transparent Data EncryptionがOracle Enterprise Manager Database Console内で有効になっていることを確認するには、ブラウザを開いて以下のURLを入力します。

https://<hostname>:1158/em

systemユーザーとしてログインします。

「 Server」タブを選択します。

Securityの下で「 Transparent Data Encryption」をクリックします。

ウォレットが開き、Transparent Data Encryptionが有効化されます。

Related Linksの下で、「 Tables」をクリックします。

Schemaフィールドに OEと入力し、「 Go」をクリックします。

CUSTOMERSの前にあるボタンを選択し、「 Edit」をクリックします。

別の暗号化アルゴリズムとキー・シードを指定して、この表内にあるすべての暗号化列で使用することもできます。 「 Encryption Options」をクリックします。

オプションを確認して、「 Continue」をクリックします。

Encryption列の CREDIT_LIMITのチェックボックスを選択し、「 Apply」をクリックします。

列を暗号化するジョブが送信されます。 ジョブのリンクをクリックします。

ジョブが成功しました。 「 Database」ブレッドクラムをクリックします。

Oracle Enterprise Manager Database ControlのServerタブの下にあるStorageで「 Tablespaces」を選択します。

「 Create」をクリックします。

表領域の名前に OBEと入力し、Datafilesの下にある「 Add」をクリックします。

First Nameに OBEと入力してから、「 Continue」をクリックします。

表領域の暗号化は、暗号化形式でディスク内にデータを格納することで、表領域内のすべてのオブジェクトを保護します。 Oracleウォレットは必ず存在し、開いた状態にある必要があります。 「 Encryption Options」をクリックします。

オプションを確認して、「 Continue」をクリックします。

「 Encryption」チェックボックスを選択し、「 OK」をクリックします。

表領域の作成に成功しました。 Tablespacesのリストから「 OBE」リンクを選択します。

注：エラーが返されたら、端末ウィンドウに切り替えて、systemとしてSQL*Plusにログインし、以下のコマンドを実行します。

CREATE TABLESPACE OBE DATAFILE '/u01/app/oracle/oradata/orcl/obe' SIZE 100M
   ENCRYPTION DEFAULT STORAGE (ENCRYPT);

EncryptionオプションがYESに設定されていることを確認します。 「 Database」ブレッドクラムをクリックします。

SQLDeveloperを開きます。 Linuxで端末ウィンドウを開き、以下のコマンドを実行します。

                                           
cd $ORACLE_HOME/sqldeveloper/sqldeveloper/bin
./sqldeveloper
                                        

以前の接続から移行するかどうか確認するメッセージが表示されたら、「 No」をクリックします。

接続を作成します。 「 Connections」を右クリックして、「 New Connection」を選択します。

Connection Name、Username、Passwordに OEと入力します。 SIDに orclと入力し、「 Test」をクリックします。

テストは成功しました。 「 Connect」をクリックします。

まず、CUSTOMERS表のコピーを作成します。 SQL Worksheetで、以下のコマンドを入力して「 Execute」をクリックします。

                                           
CREATE TABLE customers_obe AS SELECT * FROM customers
                                        

これで、（暗号化された）OBE表領域に表を移動できます。 Tablesを開いて「 CUSTOMERS_OBE」を右クリックし、「 Storage」、「 Move Tablespace」の順に選択します。

リストから「 OBE」表領域を選択して、「 Apply」をクリックします。

OBE表領域への表の移動に成功しました。 「 OK」をクリックします。

これで、DATE_OF_BIRTH列に索引を作成できます。 SQL Worksheet領域で以下のコマンドを入力し、「 Execute」をクリックします。

                                           
CREATE INDEX customers_obe_idx ON customers_obe(date_of_birth)
                                        

これで、DATE_OF_BIRTH列からデータをいくつか選択できるようになりました。 SQL Worksheet領域で以下のコマンドを入力し、「 Execute」をクリックします。

                                           
SELECT cust_last_name, date_of_birth FROM customers_obe
WHERE date_of_birth > '04-FEB-59'
AND date_of_birth < '06-FEB-59'
                                        

データが選択されました。 どのExplain Planを使用したか確認します。 「 Explain Plan」アイコンをクリックします。

索引を使用して、全表スキャンではなく索引（範囲スキャン）によりデータを取得したことに注意してください。

Oracle Enterprise Manager Database ControlのServerタブの下にあるSecurityで「 Transparent Data Encryption」を選択します。

「 Advanced Options」の前にある「 +」をクリックします。

Regenerate Master Database Keyの下にある「 Regenerate」をクリックします。 Encryption Wallet Passwordに welcome1と入力し、「 OK」をクリックします。

マスター・データベース・キーが再生成されました。

「 Close Wallet」チェックボックスを選択し、「 OK」をクリックします。

ウォレットが閉じました。 Transparent Data Encryptionが無効になっていることを確認するには、以前作成した暗号化列からデータを選択します。 「 Database」ブレッドクラムをクリックします。

ページの下部までスクロールし、Related Linksの下にある「 SQL Worksheet」をクリックします。

SQL Command領域で以下のコマンドを入力し、「 Execute」をクリックします。

                                           
select credit_limit from oe.customers_obe
                                        

列は暗号化されているため、データを問い合わせるためにはウォレットを開く必要があります。 このウィンドウを開いたままにして、Oracle Enterprise Managerに戻ります。

Oracle Enterprise Manager Database ControlのServerタブの下にあるSecurityで「 Transparent Data Encryption」を選択します。

Enable Transparent Data Encryptionの下で、 Encryption Wallet Passwordにパスワードを入力し、「 OK」をクリックします。

ウォレットが開きました。

SQL Worksheetに戻り、問合せを再度実行します。 今度は、列のデータが表示されます。