少し前にここでMySQLがTDE(Transparent Data Encryption)透過的暗号化に対応したという話題を取りあげました。そのときは鍵管理が同一サーバに保存されるので問題があるとお伝えしました。高度なセキュリティを実現するためには暗号鍵をデータを保存するサーバとは別の場所に保存するように求められます。
オラクル社は、今回暗号鍵の外部保存に対応するためにMySQL Enterprise TDEを発表しました。これは無料のMySQLコミュニティ版と違って暗号鍵を外部に保存することができます。この鍵管理は大手ベンダーが推奨するKMIP(Key Management Interoperability Protocol)という鍵管理相互運用プロトコルを利用しています。オラクル社はではKMIP対応製品としてOracle Key Vaultを販売しています。
これでMySQLでの透過的暗号機能の環境は整ったといえるでしょう。それでは価格面ではどうでしょうか?
これらの機能を利用するためには、MySQL Enterprise EditionとOracle Key Vaultの両方を購入する必要があります。例えばMySQLサーバを1台暗号化するとすると合わせて年間300万円近くかかります。残念ながらこちらはまだまだ高価格です。
ちなみにServer-GENERALだと同等の構成だと3分の1以下の価格になります。さらに鍵管理サーバをメーカのクラウドに任せる場合は20分の1の価格の年間15万円弱で実現できます。これなら年間の予算としてもお求めやすい価格帯ではないかと思います。
暗号化関連のセキュリティ商品というのは、同等の機能でも大きな価格差がありますので、じっくりと検討していただければと思います。