Transparent Data Encryption

Oracle Database 11gのTransparent Data Encryption（透過的データ暗号化）機能（Oracle Database 10g Release 2で Oracle Advanced Securityのコンポーネントとして導入）は、ディスクへの書込み時にデータを透過的に暗号化して、許可ユーザーの読取り時に復号化することにより、 PCIDSS対応への取組みをサポートします。 アプリケーションの修正は必要なく、データが暗号化されてストレージ・メディアに保存されていることが許可ユーザーに気付かれることもありません。

4つの簡単な手順を実行するだけで、Transparent Data Encryption（TDE）で機密データを含む列が保護されます。

Oracle Database 11gの新機能：表領域の暗号化

表領域の暗号化により、Transparent Data Encryptionが さらに容易になります。ストレージ容量を増加することなく、'暗号化'される表領域を定義して機密データの保存に使用します。外部キー、レンジ・スキャン、および非サポートのデータ型における、列ベースのTransparent Data Encryptionの制限は適用されません。暗号化されていない表領域と暗号化されている表領域の機能に違いはなく、実行計画も変更されません。

Oracle Database 11gの新機能：ハードウェア・セキュリティ・モジュールのサポート

セキュリティのさらなる向上のため、PKCS#11インタフェースをサポートするハードウェア・セキュリティ・モジュール（HSM）に、TDEマスター・キー（列ベースの暗号化および表領域の暗号化用）の格納が可能となりました。デバイス内にTDEマスター・キーが作成されると、クリアテキストとして残ることはありません。 PKCS#11はオープン・インタフェースのため、幅広いHSMベンダーから選択可能です。

Oracle Database 11gの新機能：'SecureFile' LOB暗号化

機密文書（契約書、X線画像など）の電子的なスキャンおよび格納は頻繁に行われます。 Oracle Databaseのセキュリティ向上により、Oracle Database 11gの新しい'SecureFile' LOBの暗号化が可能となりました。

下位互換性のために、暗号化ツールキット(DBMS_OBFUSCATION_TOOLKIT)および、より強力なDBMS_CRYPTOパッケージが、引き続きOracle Database 11gにも提供されています。

データの暗号化をアクセス制御の代替手段として使用してはなりませんが、暗号化されたデータを格納することにより、Oracle Recovery Manager（Oracle RMAN）やOracle Secure Backupで作成されたバックアップに加えて、ストレージ・メディア上に追加の保護レイヤーが提供されます。これにより、メディア盗難時にクレジットカード番号などの機密データを保護することができます。メディア盗難は、物理セキュリティ、OS構成、またはバックアップ処理が脆弱な場合に発生します。