ソフトウエアの固有の暗号化の限界を理解する

先日、秋葉原でOracle MySQL Innovation Day Tokyoが開催され、オープンソースデータベースMySQLの最新動向が一般向け紹介がされました。その中で前回こちらでも紹介したMySQLのデータ暗号化機能の商用版である、MySQL Enterprise TDEの機能が紹介されました。

多くの追加機能が紹介された中で、この暗号化機能に質問が集中していましたので、データベースの暗号化は多くの人にとって興味深いものであったのだと思います。また、商用版MySQLでは暗号鍵の管理を分離できる仕組みもありますので、今後、利用が増えていくことでしょう。

しかしながら、質問内容は鋭いものが多く、中でも「バイナリログ(トランザクションログ)は暗号化されるのか」という問いに対しては、「まだ対応していない」とのやりとりがあり、単にデータを暗号化しただけではセキュリティ的に不十分ということをきちんと理解している方もいて、よい質問だなと思いました。

さて、今後このように、セキュリティ対策としてアプリケーション自体がデータの暗号化に対応していくことが増えていくことでしょう。しかし、それが十分なのかどうか常に見極める必要がります。上記の質問者のようにアプリケーションの中身を深く理解している場合は問題ないのですが、そうでない場合は十分に専門家の意見を聞くようにしたほうがよいでしょう。

また、アプリケーションの暗号化が不十分な場合は、汎用的な暗号化ソリューションと組み合わせるという選択もあります。まだまだ、高度なセキュリティ基準を満たすものは、高価格なものが多いので、十分に吟味していただければと思います。

記事をシェアする