データの暗号化について
Oracle Linuxに付属している暗号化ライブラリは、データ暗号化機能を提供するためにソフトウェアで使用できます。データ暗号化を使用して、保存されているデータまたは転送されるデータを保護できます。ストレージ・デバイスおよびメディア上のデータは、漏えいするリスクまたはデバイスが紛失するリスクがあります。ローカル・エリア・ネットワークおよびインターネットで転送されるデータは、インターセプトまたは変更される可能性があります。データを暗号化することで、ストレージ内または転送中のデータを保護し、より安全なインフラストラクチャを提供できます。また、プライバシ・データおよび個人データを保護するデータ暗号化はますます、企業のセキュリティ・ポリシーおよび政府規制(HIPAA、GLBA、SOX、PCI DSSなど)の必須要件となっています。
Oracle Linuxシステムには、データを保護するための方法がいくつか用意されています。
-
システムおよびアプリケーション・ソフトウェアをインストールするときは、信頼できるソースによってデジタル署名されたRPMパッケージのみを受け入れます。
ダウンロードしたソフトウェア・パッケージが署名済であることを確認するには、リポジトリ構成ファイルで
gpgcheck=1
を設定して、ソフトウェア・サプライヤから提供されたGPGキーをインポートします。Oracle Linuxイメージに対しては、通常は、/etc/dnf/dnf.conf
ファイルでグローバル・デフォルトとしてこの設定が有効になっています。暗号化を使用して通信チャネルを保護するSecure Sockets Layer (SSL)プロトコルを使用して、RPMをインストールすることもできます。詳細は、Oracle Linux: Oracle Linuxでのソフトウェアの管理を参照してください。
-
特にラップトップ、外部ハード・ドライブおよびUSBメモリー・スティックなどのリムーバブル・デバイスでデータ漏えいを防止するには、フルディスク暗号化の使用を検討します。Oracle Linuxは、
dm-crypt
カーネル・モジュールおよびLinux Unified Key Setup (LUKS)形式を使用したブロック・デバイス暗号化を提供しています。cryptsetup管理コマンドは、cryptsetup
パッケージにあります。これらの技術では、システムがオフのときにデータにアクセスできないように、デバイス・パーティションを暗号化します。システムをブートして適切なパスフレーズを指定すると、デバイスは復号化され、データにアクセスできるようになります。ブロック・デバイスの暗号化の詳細は、『Oracle Linux 9 ストレージデバイスの管理』を参照してください。一般的な使用方法の手順については、
cryptsetup(8)
マニュアル・ページも参照してください。 -
Oracle Linuxでは、暗号化を使用して仮想プライベート・ネットワーク(VPN)およびセキュア・シェル(SSH)をサポートしています。これらのツールを使用して、エンド・ツー・エンドのネットワーク・トラフィックを暗号化できるため、転送中にデータが安全に保たれます。詳細は、Oracle Linux: OpenSSHを使用したリモート・システムへの接続、およびOracle Linux: 仮想プライベート・ネットワークの構成の「仮想プライベート・ネットワークの構成」を参照してください。
-
Oracle Linuxでは、暗号化を使用してシステム・パスワードを格納します。デフォルトでは、Oracle Linuxは強力なパスワード・ハッシュ・アルゴリズム(SHA-512)を使用し、ハッシュ・パスワードを
/etc/shadow
ファイルに保存します。 -
Oracle Linuxは、Advanced Encryption Standard New Instructions (AES-NI)命令セットを使用するIntel CPUのハードウェア高速暗号化を利用して、x86_64アーキテクチャでのAESおよびRC4アルゴリズムの実行を高速化します。