格納データを暗号化する場合は、以下のセットアップを行ってください。
キー管理サーバまたはキー管理ストレージの準備
マスタ暗号化キーの作成とバックアップ
格納データの暗号化指定
格納データの暗号化の環境を以下に示します。
マスタ暗号化キーは、RDBディクショナリや格納データと同時に盗難されないようにするため、分けて管理する必要があります。そのため、マスタ暗号化キーファイルを管理するための、キー管理サーバまたはキー管理ストレージを事前に用意してください。
キー管理サーバまたはキー管理ストレージとデータベースサーバの間の通信路を安全にするために、Security Architecture for Internet Protocol (IPsec)を導入するなどし、安全性を確保することを推奨します。
IPsecは、IPパケット単位にデータを暗号化することができる通信プロトコル です。OSのIPsecによる通信機能を設定することで通信路の盗聴を防止します。
IPsecの導入方法については、使用しているシステムベンダのドキュメントを参照してください。
キー管理サーバまたはキー管理ストレージの準備手順の例を以下に示します。
実行環境 | 手順 |
|---|---|
データベースサーバ | 1) IPsecの設定(注) |
2) ユーザアカウントの登録 | |
3) サービスの設定 | |
4) ローカルポリシーの設定 | |
キー管理サーバまたはキー管理ストレージ | 5) IPsecの設定(注) |
6) ユーザアカウントの登録 | |
7) 共有の設定 |
注) IPsecを導入する場合に行ってください。
IPsecを導入する場合は、使用しているシステムベンダのドキュメントを参照して、IPsecを設定してください。
キー管理サーバまたはキー管理ストレージにアクセスするための、Administratorsグループに属するユーザアカウントとパスワードを登録します。
[スタート]メニューの[管理ツール]で[サービス]をクリックします。
“SymfoWARE RDB RDBシステム名”を選択し、[プロパティ]ボタンをクリックします。
[ログオン]タブを選択し、2)で登録したユーザアカウント名とパスワードを登録します。
キー管理サーバまたはキー管理ストレージにアクセスするためのAdministratorsグループに属するユーザアカウントに対して、以下の権利を設定してください。
オペレーティングシステムの一部として機能
プロセスレベルトークンの置き換え
クォータの増加(Windows Server(R) 2003の場合)
プロセスのメモリクォータの増加(Windows Server(R) 2008、Windows Server(R) 2008 R2またはWindows Server(R) 2012の場合)
IPsecを導入する場合は、使用しているシステムベンダのドキュメントを参照して、IPsecを設定してください。
2)で登録したしたユーザアカウントを、同じパスワードで登録します。
リモートアクセスするフォルダに対し、データベースサーバで登録したユーザアカウントがフルコントロールの権限でアクセス可能となるように共有の設定を行います。
注意
共有の設定で、同時に共有できるユーザ数の設定値が小さい場合、Symfoware/RDBの起動がqdg14345uのエラーで失敗することがあります。
このエラーは、エクスプローラで共有フォルダを参照しながら、Symfoware/RDBを起動するなど、共有フォルダに同時に接続しているアカウントの数が設定値を超えている場合に発生します。
そのため、設定値を、最低でも2以上に設定するようにしてください。
RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーを使用して作成しています。
そのため、RDBディクショナリのリカバリ時には、RDBディクショナリのバックアップを取得したときに使用していたマスタ暗号化キーが必要です。
マスタ暗号化キーを紛失した場合、データを復号できなくなります。そのため、マスタ暗号化キーファイルの作成が完了したら、マスタ暗号化キーファイルのバックアップを行ってください。
マスタ暗号化キーは、定期的に変更を行う必要があるため、RDBディクショナリのバックアップと関連づけて管理してください。例えば、マスタ暗号化キーファイルの名前には、作成および変更をした日付を入れておくことを推奨します。
参照
マスタ暗号化キーの変更方法については、“RDB運用ガイド”を参照してください。
マスタ暗号化キーの作成
マスタ暗号化キーを、キー管理サーバまたはキー管理ストレージに作成します。
マスタ暗号化キーの作成は、データベースサーバ上でrdbenckeyコマンドを実行して行います。
RDBディクショナリ内にある内部暗号化キーは、マスタ暗号化キーファイルの配置先を保持しています。そのため、RDBディクショナリをリカバリする際、RDBディクショナリのバックアップ取得時に使用していたマスタ暗号化キーファイルを、そのときの配置先に復元する必要があります。マスタ暗号化キーの作成や変更で配置先を変更すると管理が大変になるため、マスタ暗号化キーファイルの作成先は、同じディレクトリにしておくことを推奨します。
マスタ暗号化キーファイルを、キー管理サーバ上の\SYMFO\MSTKEYディレクトリに、“MASTERKEY20120701.DAT”というファイル名で作成する場合
>rdbenckey -S \\KEYSVR\SYMFO\MSTKEY\MASTERKEY20120701.DAT
注意
ドライブ接続により接続した共有フォルダ上にマスタ暗号化キーファイルを作成することはできません。マスタ暗号化キーファイルを作成する共有フォルダをネットワークドライブとして割り当てないでください。
マスタ暗号化キーファイルはUNCパスの形式で指定してください。
参照
rdbenckeyコマンドの詳細については、“コマンドリファレンス”を参照してください。
マスタ暗号化キーのバックアップ
マスタ暗号化キーのバックアップは、ディスクが破損した場合に備えて、マスタ暗号化キーファイルとは、別のディスクで管理してください。また、RDBディクショナリと同時に盗難されないように、RDBディクショナリのバックアップとも分けて管理してください。
マスタ暗号化キーファイルを復元しやすくするため、同じファイル名を使用することを推奨します。
キー管理サーバ上で、バックアップ用ディスクをBACKUPKEYという名称でマウントしてバックアップする場合
> copy \\KEYSVR\SYMFO\MSTKEY\MASTERKEY20120701.DAT \\KEYSVR\BACKUPKEY\MSTKEY
表に格納するデータおよび監査ログに格納するデータを暗号化します。
表に格納するデータの暗号化
表に格納するデータの暗号化は、データベーススペースの定義時に行います。以下に例を示します。
データベーススペースDBSP_1に対して、暗号化アルゴリズムAES256を指定する場合
CREATE DBSPACE DBSP_1 ALLOCATE RAWDEVICE \\.\RDB_DBS1
ATTRIBUTE ENCRYPTION (AES256);監査ログに格納するデータの暗号化
監査ログに格納するデータの暗号化は、rdbauditコマンドで指定します。
詳細は、“3.10.3 監査ログデータベースの作成”を参照してください。