Japan
サイト内の現在位置
Transparent Data Encryption for PostgreSQL
特長/機能
暗号化のながれ
本製品は、指定された列またはテーブルのデータを暗号化してPostgreSQLに格納します。
暗号化したい列またはテーブルは、CREATE TABLEまたはALTER TABLE(※1)を用いて定義することができます。
①暗号化された列またはテーブルにアクセスする際には、鍵を指定した専用のセッションから接続することで、アクセス可能となります。既存のアプリケーションに対しては、セッションに関する数行の改修が必要となります。(※2)
②鍵を指定しない通常の方法で接続した場合、暗号化対象の列にアクセスするとエラーになりますが、暗号化列を除いてのアクセスは可能です。
- ※1 列単位の指定はALTER TABLEでも可能
2 Enterprise Editionで簡易動作モードを利用する場合は不要

Enterprise Editionの強化機能
Transparent Data Encryption for PostgreSQL Enterprise Editionは、OSS版に比べ多様な機能を備えており、より使いやすくなっております。
利用可能なデータ型
列単位暗号化では5種類のデータ型を暗号化データ型として提供しており、
うち3種類のデータ型はEnterprise Editionでのみ利用可能です。

鍵のバージョン管理機能
Free Editionでは鍵を1つしか持てず、鍵を変更すると新しい鍵による 全データの再暗号化が必要です。また再暗号化が完了するまで排他ロックがかかるため、業務への影響があります。
Enterprise Editionは複数の鍵を内部で保持することが可能であり、 全データの即時再暗号化を必要としません。運用を止めずに鍵を変更できます。
各バーションの鍵で暗号化されたデータが混在しても、最新の鍵のみで接続して利用することができ、古い鍵で暗号化されているデータも複合することができます。

Amazon Web Serviceの鍵管理機能と連携(Linux版のみ)
Transparent Data Encryption機能は、Amazon Web Service(以下、AWS)の鍵管理機能 Key Management Service(以下、KMS)と連携させることができます。
鍵管理者とDB管理者で権限を分離させて運用することができます。
鍵管理者は、AWS KMSを用いて暗号鍵をKMS鍵に変換します。DB管理者やDB利用者は、KMS鍵でDB接続すると、DB側でAWSにアクセスしてKMS鍵を暗号鍵に戻して暗号化/複合の処理を実施します。

アプリケーションの変更なしで利用可能な簡易動作モード
簡易動作モードはデータベース内部に鍵を保持し、データベースに接続したユーザがテーブルの利用権を持っていたら、自動で暗号化・複合を実施して動作するモードです。
これにより、利用者は鍵の指定が不要になります。
その他の鍵管理機能より相対的にセキュリティレベルは低下しますが (DBアクセス可能なユーザはそのまま復号、参照が可能に)、 アプリケーションの改修なしで利用可能です。

お問い合わせ