18. 18
データベース暗号化概要
Overview of DB Encryption
データベース暗号化ソフトは、データベースに格納されたデータを暗号化す
るために使用されます。
列または、テーブル、表領域などの単位で権限の無い担当者による暗号化・
複合化を防止するセキュリティ方式です。
Fire Wall: ファイアウォール(内外の通信を中継/監視し外部の攻撃から保護)
IDS:不正侵入検知システム(パケットを監視して不正侵入/攻撃を検知)
IPS:不正侵入予防システム(不正と判断したパケットを遮断)
OS セキュリティ / セキュアOS
DB アクセスコントロール/監査
Encrypted Table
DB 暗号化
内部からの情報漏洩をブロック
外部からのデータアクセスをブロック
20. 20
PISO EO概要
PISO EO 概要
eGlobal System社で300サイト以上実績のある暗号化技術をPISOに統合
弊社監査取得ソフトPISOとのISM共用による同時適用可
テーブルの列単位での暗号化
暗号化テーブルへのアクセスコントロール
Database User ■ Application Name
IP Address ■ Access Days
MAC Address ■ Access Time
Machine Name ■ Expire Date
暗号化テーブルへのアクセスログの取得
ゼロダウンタイム構築:
初期導入および暗号化カラム追加時において、中断することなく暗号化適用可能
暗号化された索引の検索:
暗号化されたインデックスでの検索時、パフォーマンスの性能が低下しない
21. 21
PISO EO概要 ~ 暗号化データアクセス例
EMP Table
View
DBMS
S
SCOTT
JOHN
SQL> select ename, job from scott.emp;
ENAME JOB
--------------- ---------
SMITH CLERK
ALLEN SALESMAN
WARD SALESMAN
JONES MANAGER
MARTIN SALESMAN
BLAKE MANAGER
CLARK MANAGER
SCOTT ANALYST
KING PRESIDENT
SQL> select ename, job from scott.emp;
ENAME JOB
--------------- ---------
Encrypted CLERK
Encrypted SALESMAN
Encrypted SALESMAN
Encrypted MANAGER
Encrypted SALESMAN
Encrypted MANAGER
Encrypted MANAGER
Encrypted ANALYST
Encrypted PRESIDENT
権限を持つユーザ 権限を持たないユーザ
22. 24
PISO EO システム&オブジェクト構成
OS Process
Encrypted Table
View
Advanced Index
DBMS
Shared Memory
Policy & Key Deploy
RSA
S
Application
Use App…
DBMS Tools…
PISO EO Crypto
PISO EO Structure
CubeOne
Server
CubeOne
Auditor
CubeOne
Guard
Trigger/Procedure
PISOEO
Manager
27. 29
暗号化されたインデックスによる検索が難しい理由
SSN Row_ID
0202021989898 4
0707072121212 2
0808081020202 1
4504044545454 3
Row_ID Name SSN
1 Hong 0808081020202
2 Kim 0707072121212
3 Kang 4504044545454
4 Lee 0202021989898
Select * from customer
Where SSN between ‘0711111111111’
and ‘0811111111111’;
Index Table
Query
Jumin_Num Row_ID
/jVG/+SSdl97UUS5NhrZ6w 4
30WauEraEUmE80y16paN 1
5wkKAmBGpayYXYC64pfB 3
GU/wjHxf3LliBGNyDG0rg= 2
Row_ID Name Jumin_Num
1 Hong 30WauEraEUmE80y16paN
2 Kim GU/wjHxf3LliBGNyDG0rg=
3 Kang 5wkKAmBGpayYXYC64pfB
4 Lee /jVG/+SSdl97UUS5NhrZ6w
Index Table
Query
Index
Scan
Optimizer
Full Table
Scan
Optimizer
Encrypted
Select * from customer
Where SSN between ‘0711111111111’
and ‘0811111111111’;
データが暗号化され、
データ順序が維持されないため、
Index Range Scanが不可能。
すべてのデータを復号化し、
復号化されたデータを検索。
PISO EOでは、ドメインインデックスとファンクションインデックスを組み合わ
せたアドバンスドインデックスを作成することで暗号化後でも暗号化前と同じオー
ダーを保持したインデックスを使用したレンジスキャン検索を行うことが出来る
28. 30
Advanced Indexの生成
Advanced Index
Original Indexと同一のデータ順序を維持
平文データと同一のデータ順序を維持するハッシュアルゴリズムを使用
Advanced IndexはDomain IndexとFunction Based Indexで構成
Original Table
Encrypted Table Advanced Index
Row_ID Name SSN
1 Hong 0808081020202
2 Kim 0707072121212
3 Kang 4504044545454
4 Lee 0202021989898
Row_ID Name Jumin_Num
1 Hong KJSDHFSJKHSDAJJSA
2 Kim UEJEIUEWMNKJNDKAS
3 Kang MCJHDSWIUHCIWUIW
4 Lee AKLSJDSHKJDHASJSD
Jumin_Num Row_ID
AAAAAAAAAAAAAAA 4
BBBBBBBBBBBBBBB 2
CCCCCCCCCCCCCCC 1
DDDDDDDDDDDDDDD 3
Encrypt
SSN Row_ID
0202021989898 4
0707072121212 2
0808081020202 1
4504044545454 3
Original Index
データ順序を維持