クラウドのデータベース常時暗号化サービスとベンダー依存問題

今週、マイクロソフトは自社のクラウドサービス「Microsoft Azure」内のデータベースサービスである「Azure SQL Database」の常時暗号化を実現する「Always Encrypted」を発表しました。

データベースの暗号化はAmazon AWSなどでも利用可能ですが、機能的にはよく似ています。つまり、専用の鍵管理システムがあり、そこから暗号鍵を取り出してデータを暗号化します。Azureの場合は「Azure Key Vault」、AWSでは「AWS Key Management Service」です。

このように各社独自の暗号鍵管理システムが存在するのですが、相互運用が出来るという話は聞きません。業界標準としてKIMP(Key Management Interoperability Protocol)という暗号鍵管理の標準もあるのですが、独自仕様のものも多く、暗号鍵管理システムはクラウド事業者の囲い込みの戦略として利用されているように見えます。

各クラウドサービスベンダー社がデータベースの暗号化を進めているのは非常に喜ばしいことではありますが、ベンダー間の鍵管理システムの相互運用は、しばらく出来そうにありません。ベンダー依存からの脱却が必要な場合は独自に暗号鍵管理システムを運用するしかなさそうです。

記事をシェアする