今月、マイクロソフトの提供するクラウドサービスMicrosoft Azureは、新たな暗号化サービスを追加しました。それは
「Storage Service Encryption(SSE)」です。今までも「Azure Disk Encryption」というサービスがあったのですが、いったい何が違うのでしょうか?
前者は物理ストレージへの保存をすべて暗号化するもので、後者はOSの仮想ディスクを暗号化するものです。何が違うのかわかりにくいかもしれませんが、簡単にいうと物理層かOS層かどうかの違いです。
「Storage Service Encryption(SSE)」ではOSに依存することなく暗号化が可能です。管理ポータルか制御できるので利用者からすれば本当に暗号化されているのかは見た目ではよくわかりません。物理マシンで例えるならばハードドライブのフルディスク暗号を利用しているようなイメージになります。
「Azure Disk Encryption」はOS側制御するので、ディスクをマウントするときにOS上で暗号化のモジュールが必要になります。Windowsではbitlockerを利用し、LinuxではDM-Cryptが必要になります。
このようにSSLで通信の暗号化だけを考えていた時代から、クラウドでの物理層、OS層でも暗号化が標準で提供されるようになってきました。もちろんアプリケーション層でも暗号化は進んできています。
つまり、サーバ上の一カ所で暗号化すれば安心という時代では無くなってきたのです。各層の暗号化はそれぞれ用途も目的違います。誰から何を守ろうとしているのかを見極めて暗号化の手段を選択していく必要があります。