TDE 【Transparent Data Encryption】 透過的データ暗号化
概要
TDE(Transparent Data Encryption)とは、リレーショナルデータベース管理システム(RDBMS)が備えるセキュリティ機能の一つで、データをストレージに記録する際に透過的に暗号化を行う機能。利用者やアプリケーションは存在を意識することなく自動的に暗号化・復号が実施される。DBMSがストレージ上に用意された表領域にデータを記録する際に、AESなどの秘密鍵暗号を用いて暗号化して書き込む。読み込み時には自動的に暗号化が解除(復号)され、利用者が明示的に暗号化や復号を指示したり、アプリケーション側で何らかの対応を行う必要はない。
暗号鍵は表領域ごとに用意され、この暗号鍵もシステム内で暗号化されて保管される。TDEを有効化する際にデータ暗号鍵を復号するためのマスター鍵が一つだけ作成され、正規の管理者が認証(パスフレーズ入力やHSM接続など)をパスしなければ取り出すことができないよう管理される。
暗号化によってデータ容量が増大することはないが、ストレージへのデータの出し入れの度に暗号化・復号が行われ、その分だけ処理負荷が増大する。原則として暗号化できるのは利用者が作成したデータベースのみで、システムデータベースなどDBMSが内部的に使用する領域は暗号化できない。
TDEはOracle DatabaseやSQL Server、MySQL(InnoDB)などが標準で対応しており、PostgreSQLなど追加のソフトウェアで実現可能なシステムもある。
(2022.12.11更新)
共有ボタンをタップ