ページの先頭行へ戻る
Enterprise Postgres 15 セキュリティ運用ガイド
第1章 セキュリティの概要 > 1.5 Fujitsu Enterprise Postgresが提供するセキュリティ > 1.5.2 セキュリティ機能
前次

1.5.2 セキュリティ機能

Fujitsu Enterprise Postgresでは、以下のセキュリティ機能が提供されています。

各機能について説明します。

認証

データベースにアクセスするデータベースユーザーの認証を行うことで、アクセス可能なデータベースを制限することができます。また、サーバを認証して、データベースサーバのなりすましを防止することができます。

認証の詳細については、“PostgreSQL Documentation”の“Server Administration”の“Client Authentication”を参照してください。

サーバの認証については、“PostgreSQL Documentation”の“Server Setup and Operation”の“Secure TCP/IP Connections with SSL”を参照してください。

アクセスコントロール

データベースのオブジェクトは、初期状態ではオブジェクトの作成者、またはオブジェクト作成時に所有者として指定されたデータベースユーザー(以降、両者を所有者と呼びます)、またはスーパーユーザーのみが使用できます。オブジェクトの所有者、またはスーパーユーザーは、データベースユーザーに対するアクセス権限を制御することで、データベースに接続したデータベースユーザーがどのような表にアクセスできるか、どのような操作を行うことができるかを制御することができます。

Fujitsu Enterprise Postgresでは、アクセス制御の設計や運用を支援する機密管理支援機能を提供します。詳細については、“第7章 機密管理支援機能”を参照してください。

オブジェクトのアクセス制御の詳細については、“PostgreSQL Documentation”の“The SQL Language”の“Privileges”を参照してください。

暗号化

Fujitsu Enterprise Postgresでは、以下の要求事項を満たす透過的データ暗号化機能を提供します。

また、機密レベルの高いデータが暗号化されずに運用されるべきではありません。Fujitsu Enterprise Postgresでは、これを防止することを支援する機密管理支援機能を提供します。詳細については、“第7章 機密管理支援機能”を参照してください。

PostgreSQLでは、pgcryptoという暗号化機能が提供されており、Fujitsu Enterprise Postgresでも使用することができますが、アプリケーションに暗号化を意識した修正が必要となるため透過的データ暗号化機能の使用を推奨します。透過的データ暗号化については、“Fujitsu Enterprise Postgres 運用ガイド”の“透過的データ暗号化による格納データの保護”を参照してください。

また、クライアントとサーバ間の通信データに機密情報を含む場合、通信データを暗号化し、ネットワーク上の盗聴による脅威から通信データを保護する必要があります。

通信データの暗号化については、“Fujitsu Enterprise Postgres 運用ガイド”の“Secure Sockets Layerによる安全な通信の構成”を参照してください。

監査ログ

管理者の権限乱用、利用者のデータベースへの不正アクセスなどの脅威に対抗するための機能です。管理者や利用者の処理を追跡するための情報を監査ログとして取得、保持します。

管理者は、監査ログを定期的に参照・監視することによって、システムが何らかの影響を受けている、あるいは利用者が誤ったオペレーションを行っているためにシステムの資源が枯渇しかかっている、といった事象を検知し、適切な対応を行うことによって、情報漏えいやシステムダウンなどを未然に防ぐことができます。

監査ログについては、“第6章 監査ログ機能”を参照してください。

データ秘匿化

アプリケーションによって発行された問合せに対して、一部のデータを改訂して参照させることができます。

たとえば、従業員データの問合せに対して、実際のデータを表示せずに、8桁の従業員番号の最後の4桁以外を“*”で改訂して参照させる場合などに利用できます。

具体的には、データ秘匿化機能で改訂したデータをテスト用データベースに移行し、テストや開発を行うユーザーに参照させる利用方法があります。テスト時には本番環境データベースで利用するデータを用いてテストを行うことが求められます。しかし、機密データが流出するリスクが高まるため、本番環境データベースのデータをそのまま使用するべきではありません。本機能を利用することで、本番環境データベースにより近いデータをテストや開発環境でも安全に利用することができます。

データ秘匿化については、“Fujitsu Enterprise Postgres 運用ガイド”の“データ秘匿化”を参照してください。

前次
Copyright 2018-2023 Fujitsu Limited