コラム

データベースの暗号化。その必要性と注意点を紹介

AI秘密計算

目次

企業のビッグデータ活用が進む中、ウイルス感染・不正アクセスによる情報漏洩・紛失事件は年々増加しています。
情報漏洩事件が起これば通常業務に支障が出るだけではなく、企業としての社会的信頼を失うことにつながり、賠償金発生や訴訟にも発展しかねません。いま、企業は自社データ活用とデータセキュリティ対策の強化を同時に求められているのです。

この記事では、データセキュリティ対策として代表的な方法「データベースの暗号化」についてご紹介します。

データベース暗号化とは

データベース暗号化とは、データを保護するために、データの中身が分からないように処理することです。特定のルールにしたがって暗号化することで、元のデータとは異なるデータに置き換え、外部からの閲覧や書き換えなどを防ぎます。

データベース暗号化の必要性


総務省発表のデジタルデータに関する調査研究*によると、企業が蓄積したビッグデータを組織運営や製品・サービスの企画開発、マーケティングなどに活用する動きが浸透しつつあります。データ活用戦略の策定や、データ利活用を推進する部署の立ち上げに踏み出す企業も増えてきました。

*参照:総務省「デジタルデータの経済的価値の計測と活用の現状に関する調査研究の請負報告書」
https://www.soumu.go.jp/johotsusintokei/linkdata/r02_05_houkoku.pdf

一方、企業による情報漏洩・紛失事故は後を絶たず、また不正アクセスなどサイバー攻撃による事故も増え続けています。企業の機密情報や個人情報を流出させることは、企業の社会的な信用の失墜にとどまらず、多額の賠償金の支払いや訴訟問題に発展するケースもあります。

そうした事態を防ぎ、企業が安全なデータ利活用を実現するためにも、情報管理やプライバシー保護が経営課題の一つとして捉えられるようになりました。機密データの盗み見や流出を防ぐ「データベース暗号化」をはじめとした、セキュリティ対策の強化が急がれています。


データベース暗号化のメリット


日本ネットワークセキュリティ協会の調査*によると、2018年に発生した個人情報漏洩事故の三大原因となっているのが「紛失・置き忘れ」「誤操作」「不正アクセス」です。

これらの事態が発生するリスクを完全になくすことは難しいものですが、発生することを見越して「データの中身がわからないように処理する = データベースを暗号化する」ことは有効な対策であると言えます。

*日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査結果」
https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf

ただしデータセキュリティ対策の観点では、「データベースの暗号化だけしておけば完璧」という訳ではありません。外部からの不正アクセス防止のために、端末やネットワーク環境へのアクセス制御も同時に行う必要があります。

データベース暗号化のポイントとタイミング

データベース暗号化を行う際は、暗号化の「手法」と「タイミング」を適切に選択し、暗号鍵の管理を徹底することではじめてセキュリティ対策になり得ます。ここからは、それぞれのポイントについて詳しく紹介します。

データベース暗号化の2つのポイント


暗号化の手法

データベースを暗号化する際の1つ目のポイントは、暗号化の手法です。

データを暗号化する際、特定のルール(暗号化アルゴリズム)にしたがって暗号化します。
この暗号化ルールが簡単に破られないものであることでデータの機密性が担保されるため、「どのような手法で暗号化するか」が肝となります。


鍵管理方法

データベース暗号化の2つ目のポイントは、暗号鍵の管理方法です。

データを暗号化する際に生成される「暗号鍵」を紛失すると、データを復号することができなくなりますさらに暗号鍵が外部に流出してデータが復号されれば、機密情報の漏洩にもつながりかねません。
したがって、「暗号鍵が安全に管理されていること」も暗号化されたデータを守るもう一つの肝となります。


データベース暗号化の3つのタイミング


データベース暗号化の方式には、暗号化するタイミングに応じた3種類の方法があります。

   ①ストレージそのものへの暗号化
   ②データベース格納後の暗号化
   ③データベース格納前の暗号化

それぞれの方式について、強みと懸念点を紹介します。

①ストレージそのものへの暗号化

ストレージ機器についている暗号化機能を利用し、コンピュータのOSやファイルシステム、ストレージそのものを暗号化する方式です。

OSからストレージにデータを書き込むことで自動で暗号化され、ファイルシステムからデータを読み込む際に自動的にデータが復号されるため、ユーザーは暗号化を意識することなく使うことができます。

ただしOS側からは元データを閲覧できてしまうため、ストレージへのアクセス権と同時に暗号鍵が盗まれた場合や、パスワードロックのかかっていない端末そのものを紛失した場合、情報漏洩の危険があります。

②データベース格納後の暗号化

データベースの機能を利用して暗号化する方式です。データベースに保存する際に自動でデータが暗号化され、ストレージに書き込まれます。

事前にデータに変更を加えることなく自動で暗号化でき、データベースにアクセスすることで復号されたデータを使えるため、ユーザーは「ストレージそのものへの暗号化」と同様に、暗号化を意識することなく使うことができます。

しかし元データのログが端末に残るケースもあるため、OSが不正アクセスを受けた場合には情報漏洩の危険があります。またWebサーバやデータベースサーバがサイバー攻撃を受け、暗号化した際に生成された暗号鍵とデータが盗まれた場合も、情報漏洩の危険は免れません。

③データベース格納前の暗号化

暗号化API(Application Programming Interface)などを利用して、もっともユーザーに近いアプリケーション層でデータを暗号化してから、データベースに格納する方式です。「アプリケーション層での暗号化」と呼ばれる場合もあります。

データベースとは別のアプリケーションで暗号化を行うこの方法では、アプリケーションがなければデータを復号できない仕組みになっているため、比較的安全性が高いと言えます。

ただし他の2つの方式と同様に暗号鍵の管理を徹底する必要があり、またその管理・配布方法は比較的複雑です。データベースへの不正アクセスによる情報漏洩は防げても、不正な書き換えや削除までを防ぐことはできないため、暗号鍵をデータと分けて管理するソリューションを採用するなど、対策を行う必要があります。

データベース暗号化の注意点

データベース暗号化の仕組みを取り入れてアクセス制御をおこなうだけでは、セキュリティ対策が万全になったとは言えません。

データベース暗号化のポイントは、①データ暗号化の手法 ②暗号鍵の管理方法の2つです。

暗号化されたデータが不正アクセスを受けた場合に、暗号が簡単に破られてしまってはデータの機密性を担保できなくなります。またどのタイミング・どの方式で暗号化しても、暗号鍵が流出すればデータ流出は免れません。

したがって、データベースの暗号化には

  • 複雑で解読されることのない暗号アルゴリズムが使われていること
  • 暗号鍵の管理が徹底されていること

を満たす仕組みが必要です。

データベース向けソフトウェア「DataArmor Gate DB」とは

EAGLYSではデータベースの暗号化にご活用いただけるソフトウェア「DataArmor Gate DB」を開発・提供しています。

データ秘匿性の担保のためにこれまで自由なデータ活用が難しかった業界での、機密なデータ利活用・データベース暗号化を実現します。

暗号鍵とデータを常時分離して管理


データベースとは別のアプリケーション層(ゲートウェイ型ソフトウェア)での暗号化方式を採用し、暗号化したデータと暗号鍵を分離して管理することで、セキュリティレベルの向上を実現。さらにユーザー側で鍵を持つことで、情報管理体制を変更することなくデータ活用ができるようになります。

暗号化でデータ精度の維持と柔軟な分析を実現


従来の暗号化方式ではデータ活用の際にデータを復号しなければならず、活用時のデータ漏洩リスクが課題となっていました。しかし新しい暗号化方式「秘密計算技術」を採用した「DataArmor Gate DB」なら、機密データを暗号化したまま分析・活用していただくことができます。

これにより、これまで統計値や抽象的な分析結果などを元に検討していた、マーケティングや需要予測の精度を向上します。

データ閲覧内容をカラム単位で制御

「DataArmor Gate DB」では暗号化したデータの開示範囲をカラム単位でコントロールできるため、複数事業者間のシームレスなデータ連携が可能です。
競合企業間の非競争領域データを共有し、新商品開発や物流コストの削減、生産性向上などへつなげていただけます。

参考:DataArmor Gate DB紹介ページ
https://www.eaglys.co.jp/product/gate-db


まとめ

ハッキングや不正アクセスによる情報漏洩事件が増加し、データセキュリティ対策はますます重要になっています。データセキュリティ対策として有効とされるのはデータベース暗号化とアクセス制御の両立です。

中でもデータベース暗号化を行う際には、

  • 複雑で解読されることのない暗号アルゴリズムが使われていること
  • 暗号鍵の管理が徹底されていること

を満たす仕組みを選択する必要があります。

EAGLYSの「DataArmor Gate DB」はデータベースを暗号化しつつ、複数組織間でもデータを利活用できる仕組みとなっており、「機密なデータを秘匿化しながら活用したい」という、データ利活用時代における企業ニーズに対応しています。


EAGLYSではデータベース暗号化ソフトウェアの「DataArmor Gate DB」をはじめ、秘密計算ソリューションを開発提供し、ユーザーニーズに最適な提案をおこなっています。

デモンストレーションやデータ秘匿性担保とデータ利活用の両立についてのディスカッションから対応していますので、お気軽にご相談ください。

EAGLYSへのお問い合わせは下記フォームから

一覧に戻る