データベース暗号化 ”D’Amo”

 

データベースセキュリティソリューション「D’Amo」(ディアモ)は、企業内の重要なデータを暗号化により保護しますので、内部・外部の流出の危険からデータを安全に保護できます。

 

 

 

製品の特徴

データベースと連動する既存アプリケーションの修正せず、データをカラム単位で暗号化し、作業内訳を記録/保管できる特徴を持っています。また、アクセスコントロールにより許可されたユーザー及びアプリケーションにだけアクセスが可能な機能など様々な制御が可能なことから、システム管理者やDBA権限を持っている使用者でもデータを見ることができなくして保安性を高めた、DB保安のための専門管理ツールです。

D’Amoはこのようなデータベースセキュリティ機能を遂行することで、最近問題になっている個人情報流出および内部者による情報流出を防ぐことが出来ます。内部・外部の流出の企みからデータを安全に保護するために効果的かつ効率的な対策を取るならD’Amoを選択してください。個人情報保護法やJSOX法に必要な情報セキュリティ対策としても、ご提供が可能です。

優れた特徴
  • オラクル、SQLサーバ対応
  • 稼働まで最短3日、1週間以内で可能
  • 暗号化アルゴリズムは、世界標準とされるAES,DES,TDES,SEEDの他、ARIA,BLOWFISHを含めて6種類
  • DB接続者の特定に、詳細なログ取得
  • アプリケーションに対して完璧な独立性で、既存の業務アプリケーションを変更する必要がありません
  • ワンクリックで暗号化設定及び解除が可能な、わかり易いインターフェースを採用
  • 接続ポリシー変更のリアルタイム適用
  • ポリシー情報の自動バックアップ及び復旧機能
高度なセキュリティ保護
  • 詳細なログ取得で、データベースへの接続者を特定
  • 認証されていない使用者、IPアドレスやアプリケーションプログラム別のアクセスコントロールが可能
  • アクセス制御を強化するため、カラム別に暗号キーを作成可能。
認められたセキュリティ製品
  • 開発元韓国国家情報院(KCIA)のセキュリティレベル審議をパス
  • GS(Good Software) 認証を取得
  • 米国国立標準(NIST: National Institute of Standard Technology)で実施するFIPS 46-3, FIPS 197認証を獲得したライブラリ使用
製品構成

D’Amoは、Console(管理ツール)と Security Agentで構成されています。Consoleは、強力なPublic Key認証を獲得したセキュリティ管理者のみ使用が可能です。

 

事例集

データベース暗号化D'Amoを導入頂きました実績を、事例としてご紹介します。

某投資信託会社様

業種: 投資運用業
社員数: 421名(他派遣社員19名)※2010年3月末現在
設立: 1995年
事例要約: 顧客管理システムの統合にともない、更なるセキュリティの強化が必要となり検討開始。データベースのセキュリティ対策で検討した結果、アプリケーションの再開発を必要としない点、導入期間、価格面などを考慮した結果、D'Amo導入へとなりました。

 

詳しくはこちらから

(投資顧問)顧客管理システムの統合にともないデータベースセキュリティ強化を実施

導入前の問題点

  1. 顧客情報を統合して社内データベースで管理する事により、更なるセキュリティ強化が必要になった
  2. データベースのセキュリティ対策において「暗号化」「ログ監視」をおこなう為には、アプリケーションなどの再開発など、コストと時間をかけなければならなかった

従来は部署ごとに管理していた顧客情報をデータベースにより社内で統一できるようにするため、顧客情報管理システムの開発プロジェクトを実施。アプリケーションでのユーザ認証に加え、データベース自体の暗号化やアクセスログ取得等によるより高度なセキュリティ対策を検討していたが、他の一般的なDB暗号化製品を使用する場合、アプリケーションにもロジックの組み込みを行なう必要があるため、実現にはかなりの開発コストと時間をかけなければならなかった。

導入までの経緯

今回のプロジェクトにより、社内データベースに顧客の担当者に関する個人情報を格納することになった。そのため、既存の社内データベースよりも厳重なセキュリティ対策を検討した。最も重視した点は、項目の暗号化である。 暗号化を実現するにあたって、製品をD’Amoに決定したポイントは次の4点である。

  1. 簡単導入(アプリケーションの再開発を必要としない事)
  2. 利便性(暗号化が簡単に実装できる事)
  3. 信頼性(暗号化だけではなく、アクセスコントロール・監査も可能な事)
  4. 低価格(検討した中で一番低価格)

 

導入後の効果

  1. アプリケーションの再開発などを必要としない為、短期間での導入に成功
  2. 暗号化、ログ監視、アクセスコントロールにより非常に高いセキュリティ対策を実現
  3. 低価格での導入が可能だった為、当初予算より大幅なコスト削減に成功

 アプリケーションの再開発等が必要ない為、短期間での導入に成功。外部、内部からの情報漏洩対策として計30項目程度の暗号化を実施(3テーブル、各10項目程度)、ログ監視、ユーザ認証なども行い高いセキュリティ対策を実施。パフォーマンス面も全く問題にならず、当初検討した予算より大幅なコスト削減に成功。

導入システム構成図

作業工程

インストールだけで導入完了 アプリケーションの修正も不要(一日)

コンサルティングフェーズ
 1.システム内容の確認 

導入フェーズ
 1.D’Amoインストール
 2.管理コンソールの導入

導入後確認フェーズ
 1.アプリケーションからの動作検証

簡単で安心の運用方法

D’Amoは、全ての機能を管理用コンソールと呼ばれるGUI環境で提供します。暗号化・復号・アクセスコントロール・ログなどの全機能を簡単にクリックだけで適用及び運用することができます。今までのDBセキュリティと違い、これからのDBセキュリティは導入も運用も簡単でなければなりません。簡単に情報流出を防止し、万が一流出しても漏えいさせない。これからの新しいデータベースセキュリティソリューションの形です。

ご担当者様コメント

D’Amoを導入したシステムは、従来部署ごとに管理していた顧客情報をデータベースにより社内で統一的に管理できるようにする顧客情報管理の新システムでした。新しいシステムでは今まで保有していなかった個人情報などをデータベースで統一的に管理することになった為、今まで以上にセキュリティ対策の強化が必要となりました。特に暗号化およびログ監視は必須条件とし、条件に合う製品を検討した結果、最終的にD’Amoを選定することになりました。

実際の対策:ポイントを整理しよう!

外部からも内部からも情報漏洩対策を!
暗号化:30項目程度(暗号化している項目例)

暗号化カラム名
1
2
3 郵便番号
4 都道府県
5 市区町村
6 番地・ビル名
7 部署
8 役職
9 電話
10 メール

某小売りチェーン店

業種: サービス業
社員数: 5,174名
設立: 1982年5月
事例要約: 首都圏に150店舗を持つ小売りチェーン業者様。インターネット上で申し込みなどが行なえるサービスを提供し、利便性を図る一方、扱う情報が個人情報であるためのリスクが伴っております。社内・外を問わず、セキュリティを強化することでそのシステムの利便性が低下することなく、サービスレベルは維持したまま、セキュリティレベルを向上させることが大きな課題でした。

 

詳しくはこちらから

暗号化を意識せずに運用効率を上げ、分散されたセキュリティ管理を統一化

現在の課題

  • 個人情報漏洩の心配
  • セキュリティを強化することでの利便性の低下
  • 社内セッキュリティ強化のための生産性低下

こちらの会社は首都圏に150店舗を持つ小売チェーン業者様。インターネット上でお客さまからの申込などが行えるサービスを提供し、利便性を図る一方、扱う情報が個人情報であるためのリスクが伴っております。社内・外を問わず、セキュリティを強化することで必ずそのシステムの利便性が損なわれたり、利用者の生産性が低下するものであります。同社も提供するサービスレベルは維持したまま、セキュリティレベルを向上させることが大きな課題です。

 

導入前の課題

  • 情報の分散化による管理コストの増加
  • 高まるリスクと危機管理

 

同社D’Amo導入アーキテクチャ

全社の情報システムを管理する管理本部のマネージャは、「セキュリティ対策のための製品やソリューションを導入しても、社員の運用効率が極端に下がってしまい、業務に支障をきたしては何のためのセキュリティ対策だかわからない。」ということを話してくださいました。このように、セキュリティ強度を上げつつ運用効率を下げないセキュリティ対策についてのご相談をお受けして、データベースの暗号化パッケージソフト、「D’Amo」をご紹介させて頂きました。

ユーザが暗号化を意識せず

運用させることや、既存のアプリケーションやデータベース設計を修正・再開発することなく導入させることが可能なため、「短い期間で」「安いコストで」導入することが可能となりました。

夢の暗号化が導入2日間

今までのデータベース暗号化市場は、導入までの期間・コンサルテーションが長く、結果コストに反映してしまうことで導入を懸念される企業が多い。というのが現状でしたが、「D’Amo」は簡単に導入し、簡単、安全に運用することを目的に開発されたパッケージソフトのため、導入までの期間が2日間(コンサルテーションを含む)で、導入することが出来ました。

 

導入のメリット

  • 個人情報を簡単に暗号化することができた
  • 万が一漏洩した場合も暗号化により保護されている
  • 利用者が暗号化を意識しないため、利便性、生産性の低下がない

 

 

既存システムへの影響なし

D’Amoは既存のデータベースサ ーバにインストールするだけで暗号化が実装できるパッケージソフトウェアであるため、導入にともなうシステムの改変が一切発生しません。このため、暗号化を低コスト導入することが可能になりました。

情報の流れを把握

データの暗号化だけではなく、 取り扱うデータの監査分野におい てもD’Amoが大活躍しております。今まではシステムの特性上、 監査ツールの導入や、細かいアクセス制御を行うことが難しかったのですが、D’Amoによって暗号化 に加えて監査や細かなアクセス制御を行えるようになるため、情報に対してのセキュリティ対策を簡単に強化することが可能になりました。

結果として運用効率UP

D’Amoによって、社内PCやPOSシステムをはじめとするすべての利用者からお客さまの情報を護ることが可能になりました。暗号化を実装するにあたってセキュリティポリシーの考え方を、「持ち出されない対策から、持ち出された 場合にどのようなデータ内容であるべきか」に変更したことによっ て、今までのようなシステムごとのパスワード管理は必要なくなりました。このため、社員の方々に は手間をかけることなく簡単に、 かつ、安心してシステムを利用して頂いております。また、社員に対して暗号化を意識させることがないため、現在でもデータベースに対して暗号化セキュリティが実装されていることを知らない社員もいるくらいです。

 

クレジットカード情報などの、 顧客情報データベースを暗号化

  • 顧客情報となる、クレジットカード情報、名前や住所といった必要最低限の情報を暗号化し、情報資産の保護を行いました。
  • 営業の方々が運営しやすい管理体制のため、今までの運用を変えず、暗号化を行うことで、安全と対策のバランスが取れた環境になっております。

 

製品の特徴

  • GUI環境により、安全・簡単に暗号化
  • AES, DES, TDES, SEEDの4種類のアルゴリズムで暗号化
  •  カラム単位で暗号化を実装できるため、パフォーマンスの劣化を最小限に抑える
  • 業務アプリケーション等の再設定、再開発が必要ない 

某小売チェーン店事例集
(PDF:657KB)

 

FAQ

データベース暗号化

よくあるお問い合わせについて、こちらにて掲載いたします。
タイトルをクリック頂けますと、内容を確認頂くことができます。

1. D’Amoとは何ですか?
データセキュリティ及びアクセスコントロールソリューションで、データベース内に保存された重要な情報に対してアクセスコントロールを実行します。D’Amoはデータベースの使用が許可されたユーザーを細分化しクリティカルなデータを保護するのにデータベースを使用している既存のアプリケーションを修正なしで暗号化が適用できる特徴を持っています。
データベース内のアクセスコントロール機能を提供し一次的にはDBユーザー単位のログイン権限コントロールをクライアントIP別、許可時間帯別、アクセスアプリケーション別に実行することが出来ます。二次的には暗号化カラムに対してDBユーザー別、クライアントIP別、アクセスアプリケーション別に暗/復号化権限を付与しデータを安全に保護することが出来ます。
重要なカラムに対して監査機能を提供することでどのユーザーがどのパソコンからどんな操作をしたのかの確認が出来るし、その情報を土台にポリシーを新しく適用して疑わしい動作に対しては遮断ができる機能を提供します。またセキュリティが必要なクリティカルな情報だけを選択的に暗号化し、システムの性能低下を最小化し、システム管理者やDBA権限を持っているユーザーでもデータを見ることが出来なくしてセキュリティ性を高めたDBセキュリティ専門管理ツールです。

 

2. D’Amoを導入するとどのような効果がありますか?
顧客DBの重要情報を安全に保護することでデータの信頼性を向上させるのと同時に個人情報保護法律を順守することになります。これにより企業は情報保護基盤の構築、企業のイメージ向上、収益性の増加といった一石三鳥の効果を得られます。

 

3. D’Amoにはどんな機能がありますか?
  • データベースの重要データを暗号化して管理
  • データベース利用者のログイン権限設定を通じて認可されたユーザーのみアクセスが出来るようにする機能
  • 重要データに対してアクセスログ保存及び照会機能
  • 監査資料のレポート機能(グラフ、報告書形態)

 

4. D’Amoはどうやって私の情報を保護しますか?
D’Amoは暗号化だけではなくアクセスコントロール、監査、レポーティング機能まで遂行する統合DBセキュリティスルージョンです。まずデータの暗号化を通じて情報を保護することが出来て、その後アクセスコントロールを通じて情報を保護することが出来ます。アクセスコントロールは一次、二次に分けて安全に処理されます。
一次はログインアクセスコントロールで設定されたポリシー (IPアドレス、サービス名、時間帯)によって望ましくないアクセスを遮断し、二次は暗号化されたカラムにアクセスの時に同じくセキュリティポリシー(IPアドレス、サービス名)を通じて必要なケースにのみアクセスを許可します。
監査機能はポリシー設定や変更、削除に対して記録するポリシーログに対してだけではなく暗号化、監査カラムにアクセスする場合に対しても詳しく記録を残しています。この記録を通じて非正常的なアクセスをトライし続く場合アクセスコントロールを通じてセッションを遮断することが出来ます。

 

5. Oracleと一緒に提供されるDBMS_OBFUSCATION_TOOLKITを使用してもいいのになぜわざわざD’Amoを使用しないといけないのですか?

DBのデータを暗号化することは単純に特定データだけを暗号化する簡単な作業ではありません。実際データを暗号化する時は重要なデータが安全に管理されるように処理しないといけないし該当情報を参照する既存アプリケーションが正常的に動くようにするために様々な作業を進行しないといけません。

このような作業は単純に暗号化Toolkitを使用するカテゴリを大幅に超えることになるため様々な技術的な問題を解決しないといけません。D’Amoはデータに対して暗号化を必要としているが人員不足、専門知識の不足、時間の不足等の多く制約事項を 抱いている組織のためにデータ暗号化を一番早く、効果的に具現できるように作られたソリューションです。

D’Amoは易しくて強力でより効率的な暗号化を通じてOracleのセキュリティ性を向上させます。D’Amoは使いやすいユーザー環境のGUIを提供することでデータの暗号化を容易にします。D’Amoがデータベース内の様々な種類のデータ(char/date/number)に対して暗号化を支援する反面、OracleのToolkiはraw/string/lobデータのみを暗号化の対象にします。OracleのToolkitがDES56bitと3DESのみ使用する反面、D’AmoはSEED,AES, DES, 3DES等の様々な国内外標準を満足する暗号化アルゴリズムを支援します。

 

6.Oracle10gからサポートされる暗号化機能とD’Amoの暗号化機能にはどのような差がありますか?(- システムAdminと自体のセキュリティポリシーAdminが別途で管理することが出来ますが、この部分はD’Amoと特に違った特徴がないのではありませんか?)
Oracle10gでTransparent Data Encryption(以下TDE)を支援しているのは事実です。TDE機能はデータ暗号化を支援しexport/import機能を用いる場合暗号化されたデータの処理が出来ます。しかし暗号化されたテーブルに対して適切な SELECT権限さえあれば別途の復号化権限がなくても暗号化されたデータを自動で復号化することが出来ます。
つまりDB運営管理者はSELECT命令語を通じて該当するDBの暗号化されたデータを自由に復号化して確認できるということです。もしDBAのアカウントとパスワードが漏出(ハッキングやその他いろいろ)されたら重要情報が流出してしまう短所があります。また、韓国内の公共機関と金融界で広く用いられる韓国のアルゴリズムであるSEEDアルゴリズムも支援できません。
Oracle購買と別途にこの機能を利用するためにはCPU当り2万ドルの費用が追加で掛かります。D’Amoを使用する場合暗号化されたデータにアクセスするためには基本的に該当テーブルにSELECT権限が要りますし別当の復号権限の付与を通じて認めたアカウントだけデータの確認が可能にすることが出来ます。
また詳細には特定IPでのみ処理が出来るようにするアクセスコントロールも内部的に遂行しています。そのためDBA権限があるユーザーも暗号化されたデータを照会するためにはセキュリティ管理者を通じて別途に権限をもらわないといけません。追加的にユーザーの利便性を強調したGUIを用いて多数の統合DB運営管理が出来るし、D’Amoは基本的に運営管理とセキュリティ管理の機能分離で効率的なDB管理を支援します。

 

7. D’Amoを設置してシステムを運営すると既存のプログラムに影響はないですか?
D’Amoを設置して重要データを暗号化することになっても既存のプログラムには同一なテーブル名とカラム名でデータベースにアクセスが出来るのでなんの変更もなしで使用することができます。

 

8. D’Amoの構築時に準備する事項にはどんなことがありますか?
D’Amoは会社の一番重要なデータに対した最終防御線だと思ってください。どのデータを暗号化してどのデータは暗号化しないかについて確実な計画が立てていなければなりません。またどの暗号化アルゴリズムを用いるかも決定しておいたほうがいいです。

 

9. データの暗号化はどうしても必要ですか?
アクセスコントロールではデータベースセキュリティが出来ませんか?
必ず暗号化する必要はありません。ログインアクセスコントロールでも可能です。データベースにアクセスできるプログラムや時間、そしてアクセスIP等を設定してその他のケースにはアクセスができないようにすればデータを安全に保管することが出来ます。しかしデータ暗号化とアクセスコントロールを並行に設定すればより強固なデータセキュリティが出来ます。

 

10. 暗号化したカラムに対したアクセスコントロールはどのようにしますか?
暗号化カラムに対してDBユーザー、アクセスプログラム名、アクセスIP別に許可できます。アクセスが可能なプログラムとIPのみ制限的に許可して安全にデータを保管することが出来ます。

 

11. 暗号化したカラムに対して復号化権限のないユーザーが質疑した場合どうなりますか?
復号化権限のないユーザーに対してデータベース管理者はD’Amoコンソールを通じて様々な方法で結果を見せることが出来ます。DBMSのエラーをリターンする場合、特定文字をリターンする場合?(例, ######), 暗号化された値自体をリターンする場合と別々に設定することが出来ます。

 

12. indexが適用されたカラムに対しても暗号化を適用することが出来ますか?
もちろん適用できます。データベースセキュリティ管理者はD’Amoから提供するindex支援機能を用いて暗号化することが出来ます。もちろんtrigger, PK/FK, Materialized View, Defaultカラム等に対しても暗号化出来ます。

 

13. データを暗号化した場合データベースの性能には何も問題はないですか
データベース内の全てのデータを暗号化すると大きな性能問題が起こるでしょう。全てのデータを暗号化するのは無意味で性能低下を起こしますので重要でクリティカルなデータだけを暗号化することを勧奨します。

 

14. 暗号化を適用した後データをバックアップする場合に何も問題はないですか?
何も問題もありません。暗号化されたデータが含まれたすべてのオブジェクトをバックアップしてからまた復旧する場合、D’Amoが設置されたところに以前のままの状態で復旧されますので何も問題にはなりません。しかし別途のスクリプトを用いてテーブル単位でバックアップする場合には変更されたテーブル名でバックアップをしてもらわないといけません。

 

15. DBAパスワード紛失時にもデータ流出被害を最小化することが出来ますか?
DBスーパー管理者のパスワードが不意に第三者により不正的に攻撃を受けて流出された場合、企業内の重要情報流出で甚大な被害を及ぼす可能性があります。D’AmoはたとえDBAだとしても暗号化されたカラムにアクセス権限がない場合にはデータに対してアクセスを遮断することで大量データ流出時にも被害を最小限に止めることが出来ます。

 

16. D’Amoは復旧機能を提供しますか?
データを暗号化するのに用いられた暗号化鍵を紛失した時に備えて、データベースに保存されたセキュリティポリシー(暗号化用鍵、暗号モード、etc)設定の時D’Amo Consoleに自動バックアップされます。これによって単一の暗号化鍵を紛失した時に生じられるデータ損失の危険性を低減させます。