データベースに格納するデータの暗号化は、クレジット業界データセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の暗号化に対する以下の要求事項に対して必須です。
機密情報(クレジットカード番号など)を判別不可能な状態にできること
暗号化キーとデータを分離して管理すること
定期的に暗号化キーの交換を行うこと
これに対して、Fujitsu Enterprise Postgresでは透過的データ暗号化機能を提供します。なお、PostgreSQLでは、pgcryptoという暗号化機能が適用されており、Fujitsu Enterprise Postgresでも使用することができますが、アプリケーションに暗号化を意識した修正が必要となるため透過的データ暗号化機能の使用を推奨します。
透過的データ暗号化機能では、暗号化キーの保管場所として、外部の鍵管理システムも選択することができます。
参照
透過的データ暗号化については、“運用ガイド”の“透過的データ暗号化による格納データの保護”または“鍵管理システムをキーストアとして使用する場合の透過的データ暗号化の運用”を参照してください。
透過的データ暗号化については、“運用ガイド”の“透過的データ暗号化による格納データの保護”を参照してください。
透過的データ暗号化を利用したインスタンスが出力したWALファイルに対して、pg_waldumpコマンドの--save-fullpageオプションを使用するとエラーとなる場合があります。このオプションは、WALに含まれる圧縮や暗号化などで加工されたデータベースページを、加工前の状態(伸長あるいは復号した)で表示する機能です。しかし、pg_waldumpコマンドはデータベースへの完全なアクセスを行えないツールであるため、復号に必要な情報を取得できません。したがって、復号が必要なWALがあった場合には、このオプションを付けたコマンドの実行はエラーになります。
