データベースに格納されたデータは表領域暗号化機能で保護できますが、データが保存されるのはデータベース内部だけではありません。本連載の初回で、データベースを安全に運用するために必要な5つのポイントの1つとして「重要なデータは集中管理し、アクセス経路を限定する」と、保存場所をなるべく限定する重要性を説明しました。しかし、バックアップやデータ連携のために、重要なデータをデータベースの外側に保持することもあります。オラクルではデータベース外部に保存したデータを保護する方法として、バックアップの暗号化とエクスポートダンプファイルの暗号化機能を提供しています。
Oracle Databaseでは、バックアップのための機能としてリカバリマネージャ(RMAN)を提供していますが、RMANのコマンドに簡単なオプション指定をするだけで、暗号化表領域だけでなくデータベース全体のバクアップセットを暗号化することができます。RMANで作成するバックアップセットを暗号化するためのコマンドは以下の通りです。
CONFIGURE ENCRYPTION FOR DATABASE ON;
暗号化では、キーストアを利用した透過的暗号化の他に、パスワードを利用した暗号化も利用できます。
RMANで利用可能な暗号化アルゴリズムは、V$RMAN_ENCRYPTION_ALGORITHMSビューから確認できます。
SQL> select algorithm_name from v$rman_encryption_algorithms; ALGORITHM_NAME ---------------------------------------------------------------- AES128 AES192 AES256
利用するアルゴリズムを指定するコマンドは以下の通りです。
CONFIGURE ENCRYPTION ALGORITHM TO 'AES256';
あとは、通常通りバックアップを取得するだけで、バックアップセット全体が暗号化されます。
Data Pumpによるエクスポートを行う際に出力されるダンプファイルを、暗号化することができます。
expdpコマンドラインインタフェースを利用する場合には、ダンプファイル暗号化のための引数が用意されています。キーストアを利用して透過的に復号できる暗号化(「ENCRYPTION_MODE=TRANSPARENT」)、パスワードを利用して復号する暗号化(「ENCRYPTION_MODE=PASSWORD」)、およびキーストアでもパスワードでも復号できる暗号化(「ENCRYPTION_MODE=DUAL」)が選択できます。エクスポートしたデータベースと同一のデータベースにインポートする場合には、キーストアを利用した暗号化が便利ですが、エクスポートしたデータベースと別のデータベースにインポートする場合には、キーストアを利用しようとするとエクスポートしたデータベースのキーストアをインポートするデータベースに配布しなくてはいけなくなるため、パスワードを利用した方が便利です。
暗号化アルゴリズム(ENCRYPTION_ALGORITHM)については、AES128、AES192、AES256を選択できます。また、ダンプファイル全体を暗号化する(「ENCRYPTION=ALL」)か、ダンプファイル内のメタデータを除いたアプリケーションデータのみを暗号化する(「ENCRYPTION=DATA_ONLY」)かなども選択できます。ダンプファイルを暗号化するexpdpコマンドの例は、次の通りです。
expdp hr/oracle@localhost/orclpdb.jp.oracle.com DIRECTORY=dpump_dir1 DUMPFILE=hr_enc.dmp ENCRYPTION=all ENCRYPTION_MODE=dual ENCRYPTION_ALGORITHM=AES256 ENCRYPTION_PASSWORD=123456
なお、暗号化されたファイルは、ランダムな文字列となりますので、圧縮効率が非常に低くなります。出力されたダンプファイルをzipなどで暗号化して保存していた場合、圧縮効率の低下により、暗号化前と比べてファイルサイズが大きくなることがありますのでご注意ください。なお、dpexpコマンドの圧縮オプション(「COMPRESSION」)を利用することにより、ダンプファイルを圧縮してから暗号化しますので、暗号化されたダンプファイルのサイズを小さくすることができます。
Copyright © ITmedia, Inc. All Rights Reserved.