暗号化の設定とパターン
エッジ暗号化 では、フィールドを暗号化して文字列をトークン化することができます。
暗号化設定
暗号化設定を使用して個々のフィールドを暗号化することができます。エッジ暗号化 は、AES 128 ビットの暗号化キーをサポートしています。Java Cryptography Extension (JCE) の Unlimited Strength Jurisdiction Policy (無制限強度管轄ポリシー) ファイルがインストールされている場合、エッジ暗号化 は各暗号化タイプについて AES 256 ビットの暗号化キーをサポートします。エッジ暗号化 は次のタイプの暗号化設定をサポートしています。
- 標準暗号化
- フィールドの暗号化の値は、フィールド値が同じままになる場合でも、フィールドが暗号化されるたびに異なる値になります。標準暗号化は、最も堅牢な暗号化形式です。標準暗号化を使用しているフィールドを、ソート、グループ化、またはフィルターすることはできません。
- 等価性保存暗号化
- フィールドの暗号化の値は、フィールド値が同じままになる場合は同じです。フィールドの等価比較とグループ化操作をサポートします。注:すでにデータが格納されているフィールドに対して等価性保存暗号化を選択した場合は、フィールドでグループ化アクションを実行しても、暗号化フィールドと非暗号化フィールドが混在していると、同じ値を持つフィールドがグループ化されないことがあります。
- 順序保存暗号化
- トークンと暗号化を使用して、プロキシ データベースのデータを保護します。等価比較、グループ化操作、およびデータのソート機能をサポートします。順序保存暗号化タイプは、MySQL データベースが エッジ暗号化 プロキシサーバー用に設定されている場合にのみサポートされます。注:順序保存暗号化を使用している場合、プロキシ データベースがダウンしたときに、順序保存暗号化を使用してフィールドに更新を加えることができます。ただし、これらのフィールドに基づいてデータをソートしようとすると、ソート順が正しくなりません。また、グループも想定どおりに機能しません。プロキシ データベースが再び稼動したら、順序トークンの修復ジョブをスケジュールして、欠落しているトークンを修復してください。
| 暗号化タイプ | 説明 |
|---|---|
| 標準 AES 256 | フィールドをフィルター、ソート、または比較することはできません。 |
| 標準 AES 128 | フィールドをフィルター、ソート、または比較することはできません。 |
| 等価性保存 AES 256 | 等価比較を使用してフィールドをフィルターすることができます。 |
| 等価性保存 AES 128 | 等価比較を使用してフィールドをフィルターすることができます。 |
| 順序保存 AES 256 | フィールドをソートでき、等価比較によるフィルターを使用できます。ネットワークで MySQL データベースを使用する必要があります。 |
| 順序保存 AES 128 | フィールドをソートでき、等価比較によるフィルターを使用できます。ネットワークで MySQL データベースを使用する必要があります。 |
暗号化パターン
暗号化パターンを使用して文字列内の機密データを保護することができます。暗号化パターンが保存されて有効化されると、エッジ暗号化 プロキシサーバーによって、要求のパターンと一致する文字列が識別されます。見つかったクリアー テキスト文字列はプロキシ データベースに格納され、インスタンス上でトークンに置き換えられます。暗号化パターンを使用して、社会保障番号やクレジット カード番号などの規則的なパターンに一致する文字列をトークン化することができます。暗号化の主要な手段としては暗号化設定をお勧めしますが、暗号化フィールド以外の場所にある機密情報を検索して保護する場合は暗号化パターンを補足手段として使用してください。
注:
エッジ暗号化 プロキシサーバーでネットワークにある MySQL データベースが必要になるのは、順序保存の暗号化または暗号化パターンを使用している場合のみです。クリアー テキスト値は、ネットワークのプロキシ データベースに格納されます。このため、プロキシ データベースを保護し、定期的にバックアップすることが重要です。推奨事項については、「Edge Encryption のコンポーネント」を参照してください。