列レベル暗号化の詳細

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • 列レベル暗号化の詳細について説明します。

    列レベル暗号化の概要

    列レベル暗号化 (CLE) は、AES128 または AES256 を使用してインスタンス内に保存されているデータの暗号化を可能にするベースシステム機能です。

    CLE では、暗号化コンテキストを使用して、選択したデータベースフィールドと保存されているファイルを暗号化できます。これらのコンテキストでは、暗号化の対象を定義し、使用するアルゴリズムを選択し、インスタンス内に保存される暗号化キーを指定します。

    コンテキストが作成されたら、それをユーザーロールに関連付けることができます。このロールにアサインされたユーザーは、直接またはグループを介して、暗号化されたデータにアクセスできます。

    CLE はロールアサインに基づいてデータにアクセスするため、インスタンスでのロールの管理について熟知していることが重要です。詳細については、「Managing roles」を参照してください。

    列レベル暗号化のワークフロー

    図 : 1.

    列レベル暗号化のメリット

    メリット 機能 必要なロール
    アサインされたユーザーロールに基づいて、暗号化データへのアクセスを構成します。 暗号化データへのロールベースのアクセス セキュリティアドミン
    Advanced Encryption Standard (AES) を使用してデータを保護します。AES-128 または AES-256 暗号化アルゴリズムの使用を選択できます。 AES 暗号化 セキュリティアドミン
    CLE の標準バージョンを使用して、最大 5 つのモジュールとモジュールアクセスポリシー (MAP) を作成します。MAP はロールベースのアクセスを拡張し、以下について考慮できます。
    • システムユーザー
    • スクリプト
    • KMF リソース交換
    CLE Enterprise は追加の MAP をサポートしています。    		 最大 5 つのモジュールとモジュールアクセスポリシー (MAP) のサポート セキュリティアドミン
    CLE の標準バージョンを使用して共通フィールドタイプを暗号化します。CLE Enterprise は追加のフィールドタイプをサポートしています。 文字列テキスト、日付や日時フィールド、添付ファイル、および URL の暗号化 セキュリティアドミン
    標準暗号化と等価性保存暗号化のいずれかを選択します。等価性保存暗号化を有効にすると、フィールド値が同じである限り、フィールドを暗号化した値が同じ値であることが保証されます。このタイプの暗号化では、フィールドの等価比較とグループ化の操作を行えます。
    注:
    非決定的暗号化はサポートされていません。
    		 等価性保存暗号化のサポート セキュリティアドミン
    getDisplayValue() および setDisplayValue() API を使用して、クリアテキスト値を返し、暗号化フィールドに暗号化されたデータを挿入できます。 getDisplayValue() および setDisplayValue() API セキュリティアドミン、開発者

    列レベル暗号化エンタープライズのメリット

    列レベル暗号化エンタープライズは既存の CLE フレームワーク上に構築されており、サブスクリプションを購入すると次の追加機能が提供されます。

    メリット 機能 必要なロール
    追加のフィールドタイプを暗号化します。 追加のフィールドタイプのサポート:
    • HTML
    • ジャーナル
    • 翻訳済み
    		 セキュリティアドミン
    CLE エンタープライズは、6 つ以上のモジュールとモジュールアクセスポリシーをサポートし、保護されたデータにアクセスするためのオプションが増えています。 追加のモジュールと MAP のサポート セキュリティアドミン
    構成した自動スケジュールで、Key Vault のキーをローテーションできます。自動キーローテーションを使用すると、管理オーバーヘッドを削減しながらセキュリティを向上させることができます。 構成可能な自動キーローテーション セキュリティアドミン
    データ暗号化キーのライフサイクル全体を管理します。必要に応じて、環境内で生成されたデータ暗号化キーを安全に交換できます。 顧客提供のキー セキュリティアドミン
    短期キーは、暗号化プロセスが実行されるたびに生成される暗号化キーです。これらのキーは、1 回のセッションで使用するために生成されるため、より安全です。 短期暗号化キー セキュリティアドミン
    setDisplayValue() および setDisplayValue() API が更新され、暗号化フィールドに暗号化データを挿入できます。 getDisplayValue() および setDisplayValue() API の更新 セキュリティアドミン、開発者