Azure SQL Database/SQL Data Warehouseの透過的データ暗号化機能(TDE)で「Bring Your Own Key」をサポート「Azure Key Vault」との連携で実現

「Azure SQL Database」と「Azure SQL Data Warehouse」の透過的データ暗号化機能(TDE)で「Bring Your Own Key(BYOK)」がサポートされる。

» 2017年08月31日 11時00分 公開
[@IT]

 Microsoftは2017年8月28日(米国時間)、「Azure SQL Database」と「Azure SQL Data Warehouse」の透過的データ暗号化機能「TDE(Transparent Data Encryption)」に、「Bring Your Own Key(BYOK)」を実現する機能のプレビュー版を追加したと告知した。

 BYOKは、データの暗号化において、暗号化キーをサービス事業者ではなくユーザー自身が管理する方式。重要なデータをより強固に保護するために用いられ、機密情報を扱う場合に義務付けられる規制要件を満たすために使われることもある。

 Microsoft Azure上では、「Azure Key Vault」へマスターキーを保存することで管理する仕組みとした。BYOKによって、「TDE Protector」の透明性と管理性の向上、HSM(Hardware Security Module)でサポートする外部サービスのセキュリティ強化、そして、キー管理とデータ管理の分離が可能になるとMicrosoftは述べている。

 Azure SQL DatabaseとAzure SQL Data Warehouseでは、TDEを有効にすると、格納データがデータベースに保存された対称のキーで暗号化される。これまでこのデータ暗号化キー(DEK)を保護するには「Azure SQL Service」が管理する証明書を使うしかなかったが、今回のBYOKサポートによって、DEKをAzure Key Vaultに保存した非対称キーで保護できるようになる。Azure Key Vaultでキーの集中管理を行うことで、例えば、「FIPS 140-2(連邦情報処理規格140-2)」のレベル2に準拠していることが検証されているHSMの利用を可能にし、キー管理とデータ管理の分離によるセキュリティレベルの向上を実現できるとしている。

 TDEでのBYOK機能は、Azureポータル、Windows PowerShellあるいはREST API(REpresentational State Transfer-Application Programming Interface)を使って有効にできる。

photo AzureポータルでTDEを有効にする
photo TDEでのBYOKサポートによって、データベースのTDE Protectorとしてユーザー管理の暗号化キーを使えるようになる
photo キーのローテーションも可能。Azure Key Vaultから、TDE Protectorを別のキーに切り替えたり、サービスで管理される証明書に変更したりするといった複雑なキー管理が容易に行えるようになる

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。