MySQL管理の外部委託を安全にできるMyDiamoのカラム暗号機能
一般的にデータベース管理者(以下、DBA)の主要な役割は、
「データベース内の企業のデータをユーザに対して適切に利用可能な状態で、維持、管理すること」です。
しかしながらDBAの業務は多岐にわたるために、アプリケーションの開発者やインフラエンジニアが兼務しているケースも多く見受けられます。
そのために、ある程度サービスの規模が拡大してくると、本業に人的資源を集中させるために、DBAの業務を完全に外部に委託(アウトソーシング)するようになっていきます。
しかしそれは同時に、
「極めて重要な企業秘密であるデータベース内の顧客情報や販売情報などを、外部のDBAが簡単に見ることができてしまう」
という危険を伴うことにもなります。
もちろん、DBAをアウトソーシングする際には、委託会社との契約の中でセキュリティに関する取り決めを多く交わします。
しかしそれでも、情報漏洩のトラブルなどがあとをたたない事からもわかるとおり、万が一の大きなリスクを避けるためにも、セキュリティ運用にさらに大きなコストをかけることにもなります。
では、このような問題の根本的な解決の為には、一体何をどうすればよいのでしょうか?
ここで考えなくてはならないことは、
実は、DBAの通常の業務ではデータの中身を見る必要性は全く無い
ということです。
DBAの重要な仕事は、データベースを確実に利用可能な状態にすることです。
そのため、セキュリティの求められている個人情報そのものに、そもそもアクセスする権限を持たせる必要はないわけです。
では、
「機密データを見ることができない特別なDBA権限の仕組み」
を実現することは可能なのでしょうか?
この難題を解決してくれるものが、
「MyDiamoのカラム暗号機能」
です。
その仕組みを簡単に説明すると、
「データベース内の機密データのカラムだけを暗号化する」
そしてDBAにはその
「暗号化カラムの復号権限を与えないようにする」
ということです。
では、一般的な「透過的データ暗号化」とでは、どこが違うのでしょうか?
最近はどのデータベースにも標準で暗号化の機能がついているだけでなく、クラウドサービスにおいてもデータベースの暗号化が盛んに宣伝されるようになってきました。
しかしながら一般的にはこれらのものは、ファイル単位またはディスクイメージ単位での暗号化がなされているにすぎず、カラムの暗号までが実現されているわけではありません。
そのため、職務と権限に応じたセキュリティポリシーへの適応は難しいと考えられます。
MyDiamoは、本当に必要なデータだけを
カラム単位、または部分的に暗号化
ができ、さらに
ユーザー単位での暗号化・復号の権限設定及び監査を設定
することができるので、外部のデータベース管理者にも安心して業務委託ができるということです。
以上、MyDiamoの導入に興味のあるかたは、お気軽にお問合わせいただければと思います。
ただいま、『MyDiamo』を安価に導入できるキャンペーン実施中です。是非この機会にカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/
データ暗号化の無料相談受付中。当社『ソフトエイジェンシー』にお気軽にご相談ください。
http://encryption.database.jp/
MySQLの暗号化と鍵管理は『SERVER GENERAL』にお任せください。
http://www.softagency.co.jp/products/server-general/
『MySQL』の管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise