2.6 暗号化サービスの使用

保存済、移動中および使用中の情報を保護および検証するための要件では、多くの場合、暗号化サービスが採用されます。暗号化と復号化からデジタル・フィンガープリントと証明書検証まで、暗号化はIT組織で最も広く採用されるセキュリティ制御の1つです。

Oracle Exadata Database Machineでは、可能な場合は常にIntel AES-NIおよびOracle SPARCによって提供されるプロセッサ・チップ上のハードウェアベースの暗号化エンジンが使用されます。暗号化操作にハードウェアを使用すると、ソフトウェアでその操作を実行するよりも、パフォーマンスが大幅に高くなります。どちらのエンジンでもハードウェアで暗号化操作を実行でき、かつ、どちらもデータベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。

ネットワーク暗号化サービスでは、暗号で保護されたプロトコルを使用することによって通信の機密保持および整合性が保護されます。たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびIntegrated Lights Out Manager (ILOM)へのセキュアな管理アクセスが提供されます。SSL/TLSは、アプリケーションと他のサービス間のセキュアな通信を可能にできます。

データベース暗号化サービスを使用するには、Oracle Advanced Securityのコンポーネントである透過的データ暗号化(TDE)を使用します。TDEでは、表領域全体および表内の個々の列の暗号化がサポートされます。TDEはOracle Databaseのアーキテクチャに組み込まれており、データの暗号化は一時表領域およびREDOログで保持されます。データ暗号化はデータベース・バックアップにも保持され、使用中のストレージ・デバイスに関係なくデータが保護されます。Exadataでは、TDEで暗号化されたデータも、Exadataスマート・フラッシュ・キャッシュまたはExadata RDMAメモリー・キャッシュにある場合、暗号化されたままになります。

さらに、Oracle Advanced Securityは、ネイティブ暗号化またはSSLを使用してOracle Net ServicesおよびJDBCトラフィックを暗号化し、ネットワークでの移動中に情報を保護できます。管理接続とアプリケーション接続の両方を保護し、移動中のデータが保護されるようにできます。SSLの実装では、匿名(Diffie-Hellman)、X.509証明書を使用したサーバーのみの認証、X.509による相互(クライアント-サーバー)認証などの一連の標準認証方式がサポートされます。