MySQLの透過暗号化対応版が遂にリリース、ただし注意書き有り。

前回、MySQLの透過型暗号化のリリースが、次のメジャーリリースに持ち越されるのではないかと話題にしましたが、その二日後にバージョン5.7.11の新機能としてリリースされました。よく見てみるとマニュアルの紹介ページが変更になっていて、それが原因でリリース時期が変更されたのではないかと勘違いしたようです。大変失礼いたしました。

さて、変更前はTDE(Transparent Data Encryption)という章だったのですが、今回はInnoDB Tablespace Encryptionに変わっていました。つまり、MySQLのInnoDBストレージエンジンに特化した機能であるので、そのように書き直したようです。しかし、そこには大きく目立つように注意書きが添えられています。それは

「これは法規制のコンプライアンスソリューションとして意図されていない。」
そして
「セキュリティ基準を満たすには鍵管理システムの利用が必須」

と明記されています。読者の方はお分かりと思いますが、これは非常に重要なメッセージです。

MySQLほど広く普及しているデータベースが透過型暗号に正式に対応したとなれば、セキュリティ技術に詳しく無い人も多く利用することになるでしょう。その中で暗号鍵の管理の重要性について理解していない人が安易な暗号化を採用しないように釘を差したとも言えます。

マニュアルを見ると鍵管理はプラグイン化されているようなので、今後、商用版のリリースの中で本格的なMySQLの暗号化の鍵管理システムが提供されていくのではないかと思います。それでも暗号化されるのはInnoDBだけですので、まだまだ機能的には不十分です。何が不十分なのかは、次回以降で検証していきたいと思います。