データベースサーバのメモリ(共有バッファ)内では、復号されたデータがキャッシュされます。その結果、プロセスのメモリダンプであるミニダンプには、暗号化されていないデータが格納されます。したがって、安全な方法でメモリダンプを削除してください。安全にファイルを削除するために、以下のコマンドが利用できます。
fsutilコマンド
OSのスワップ領域には、データベースサーバのメモリから暗号化されていないデータが書き出されることがあります。スワップ領域からの情報漏えいを防ぐには、スワップ領域の使用を無効にするか、またはフルディスク暗号化製品を使ってスワップ領域を暗号化することを検討してください。
サーバログファイルの内容は暗号化されません。そのため、SQL文に定数を指定していると、その値がサーバログファイルに出力されることがあります。これを防ぐには、log_min_error_statementなどのパラメータの設定を検討してください。
キーストアをオープンしたりマスタ暗号化キーを変更するSQL関数を実行するときには、パスフレーズを含むそのSQL文がサーバログファイルに出力されないように注意する必要があります。そのためには、log_min_error_statementなどのパラメータの設定を検討してください。もしデータベースサーバとは別のコンピュータからこれらのSQL関数を実行する場合は、クライアントとデータベースサーバとの間の通信をSSLで暗号化してください。
FUJITSU Enterprise Postgresでは、論理レプリケーションを利用することができます。これにより、バックアップされていないクラスタを、透過的データ暗号化が有効になっているデータベースにサブスクライブすることができます。論理レプリケーションでは、パブリッシャーとサブスクライバー間で同じ暗号化方式を使用する必要はありません。サブスクライブされたデータのコピーを暗号化したい場合、ユーザーがサブスクライブしたデータベースに対して暗号化ポリシーを作成する必要があります。デフォルトでは、公開されている暗号化テーブル空間データはサブスクライバー側では暗号化されません。
