格納データを暗号化する場合は、以下のセットアップを行ってください。

1. キー管理サーバまたはキー管理ストレージの準備

2. マスタ暗号化キーの作成とバックアップ

3. 格納データの暗号化指定

格納データの暗号化の環境を以下に示します。

マスタ暗号化キーは、RDBディクショナリや格納データと同時に盗難されないようにするため、分けて管理する必要があります。そのため、マスタ暗号化キーファイルを管理するための、キー管理サーバまたはキー管理ストレージを事前に用意してください。

キー管理サーバまたはキー管理ストレージとデータベースサーバの間の通信路を安全にするために、Secure Shell File System(SSHFS)を導入するなどし、安全性を確保することを推奨します。

SSHFSを導入しない場合の手順を以下に示します。

1) マスタ暗号化キーファイルの格納ディレクトリの設定

キー管理サーバまたはキー管理ストレージに、マスタ暗号化キーファイルを管理するディレクトリを、以下の手順で作成します。キー管理ストレージの場合は、ネットワーク上のディスク装置に付属する管理ソフトウェアで下記と同様の設定を行ってください。

1. データベースサーバのデータベース管理者と同じグループID、ユーザIDのユーザを作成します。

2. 作成したディレクトリのアクセス権は、OSの機能を利用して、データベース管理者にのみ読込み権を設定してください。

例

キー管理サーバに/symfo/mstkeyのディレクトリを作成する場合

# groupadd -g 600 dbgrp1
# useradd -u 600 -g dbgrp1 dbuser1
# mkdir -p /symfo/mstkey
# chown dbuser1:dbgrp1 /symfo/mstkey
# chmod 700 /symfo/mstkey

2) マスタ暗号化キーファイルの格納ディレクトリのマウント

キー管理サーバまたはキー管理ストレージに作成したディレクトリを、データベースサーバからアクセスできるようにネットワーク経由でマウントします。
ネットワークファイルの詳細については、“1.3.5 ネットワークファイルの設定”を参照してください。

Solarisの場合

データベースサーバから/symfo/mstkeyをNFSを使ってマウントする場合

# mount -F nfs -o soft keysvr:/symfo/mstkey /symfo/mstkey

Linuxの場合

データベースサーバから/symfo/mstkeyをNFSを使ってマウントする場合

# mount -t nfs -o soft keysvr:/symfo/mstkey /symfo/mstkey

SSHFSを導入する場合の手順の例を以下に示します。
SSHFSに関する手順は、ご使用になるソフトウェアに合わせて実施してください。

注) IPv6のネットワーク環境で運用する場合に行ってください。

1) マスタ暗号化キーファイルの格納ディレクトリの設定

キー管理サーバまたはキー管理ストレージに、マスタ暗号化キーファイルを管理するディレクトリを、以下の手順で作成します。キー管理ストレージの場合は、ネットワーク上のディスク装置に付属する管理ソフトウェアで下記と同様の設定を行ってください。

1. データベースサーバのデータベース管理者と同じグループID、ユーザIDのユーザを作成します。

2. 作成したディレクトリのアクセス権は、OSの機能を利用して、データベース管理者にのみ読込み権を設定してください。

例

キー管理サーバに/symfo/mstkeyのディレクトリを作成する場合

# groupadd -g 600 dbgrp1
# useradd -u 600 -g dbgrp1 dbuser1
# mkdir -p /symfo/mstkey
# chown dbuser1:dbgrp1 /symfo/mstkey
# chmod 700 /symfo/mstkey

2) SSHサービス設定ファイルの変更

IPv6のネットワーク環境で運用する場合、SSHサービス(sshd)のSSHサービス設定ファイル(sshd_config)に、ListenAddressキーワードを指定して、IPv6アドレスによるデータベースサーバからの接続を受け付けられるようにします。

例

ListenAddress ::

3) SSHサービス(sshd)の再起動

IPv6のネットワーク環境で運用する場合、SSHサービスを再起動します。

例

$ /sbin/service sshd restart

4) SSHサービス(sshd)の確認

SSHサービスが起動されているかを確認します。

例

$ /sbin/service sshd status

5) SSHFSに必要なプログラムのインストール

以下のプログラムのインストールおよび設定をします。

• FUSE (Filesystem in Userspace)

• SSHFS-FUSE

6) マウント操作を実行するユーザの登録

SSHFSとしてマウント操作を実行するユーザを、fuseグループに追加します。/etc/groupファイルを編集してください。

例

fuse:x:119:dbuser

7) スーパユーザへのアクセス許可の設定

キー管理サーバまたはキー管理ストレージに作成したディレクトリを、スーパユーザがアクセスできるように設定します。

例

# echo 'user_allow_other' >> /etc/fuse.conf

8) SSHFSの設定内容をOSに反映

設定した内容をOSに反映するために、データベースサーバを再起動します。

例

# shutdown -r now

9) マスタ暗号化キーファイルの格納ディレクトリのマウント

キー管理サーバまたはキー管理ストレージに作成したディレクトリを、データベースサーバからアクセスできるようにネットワーク経由でマウントします。

マウント後は、正しくマウントされたかの確認をしてください。

例

$ sshfs keysvr:/symfo/mstkey /symfo/mstkey -o allow_root
$ df -k

RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーを使用して作成しています。
そのため、RDBディクショナリのリカバリ時には、RDBディクショナリのバックアップを取得したときに使用していたマスタ暗号化キーが必要です。

マスタ暗号化キーを紛失した場合、データを復号できなくなります。そのため、マスタ暗号化キーファイルの作成が完了したら、マスタ暗号化キーファイルのバックアップを行ってください。

マスタ暗号化キーは、定期的に変更を行う必要があるため、RDBディクショナリのバックアップと関連づけて管理してください。例えば、マスタ暗号化キーファイルの名前には、作成および変更をした日付を入れておくことを推奨します。

マスタ暗号化キーを、キー管理サーバまたはキー管理ストレージに作成します。
マスタ暗号化キーの作成は、データベースサーバ上でrdbenckeyコマンドを実行して行います。

RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーファイルの配置先を保持しています。そのため、RDBディクショナリをリカバリする際、RDBディクショナリのバックアップ取得時に使用していたマスタ暗号化キーファイルを、そのときの配置先に復元する必要があります。マスタ暗号化キーの作成や変更で配置先を変更すると管理が大変になるため、マスタ暗号化キーファイルの作成先は、同じディレクトリにしておくことを推奨します。

例

マスタ暗号化キーファイルを、キー管理サーバ上の/symfo/mstkeyディレクトリに、“masterkey20120701.dat”というファイル名で作成する場合

$ rdbenckey -S /symfo/mstkey/masterkey20120701.dat

マスタ暗号化キーのバックアップは、ディスクが破損した場合に備えて、マスタ暗号化キーファイルとは、別のディスクで管理してください。また、RDBディクショナリと同時に盗難されないように、RDBディクショナリのバックアップとも分けて管理してください。

マスタ暗号化キーファイルを復元しやすくするため、同じファイル名を使用することを推奨します。

例

キー管理サーバ上で、バックアップ用ディスクをbackupkeyという名称でマウントしてバックアップする場合

$ cp /symfo/mstkey/masterkey20120701.dat /backupkey/mstkey/.

表に格納するデータおよび監査ログに格納するデータを暗号化します。

表に格納するデータの暗号化は、データベーススペースの定義時に行います。以下に例を示します。

監査ログに格納するデータの暗号化は、rdbauditコマンドで指定します。

詳細は、“3.9.3 監査ログデータベースの作成”を参照してください。