TDE【Transparent Data Encryption】透過的データ暗号化

概要

DBMSがストレージ上に用意された表領域にデータを記録する際に、AESなどの秘密鍵暗号を用いて暗号化して書き込む。読み込み時には自動的に暗号化が解除（復号）され、利用者が明示的に暗号化や復号を指示したり、アプリケーション側で何らかの対応を行う必要はない。

暗号鍵は表領域ごとに用意され、この暗号鍵もシステム内で暗号化されて保管される。TDEを有効化する際にデータ暗号鍵を復号するためのマスター鍵が一つだけ作成され、正規の管理者が認証（パスフレーズ入力やHSM接続など）をパスしなければ取り出すことができないよう管理される。

暗号化によってデータ容量が増大することはないが、ストレージへのデータの出し入れの度に暗号化・復号が行われ、その分だけ処理負荷が増大する。原則として暗号化できるのは利用者が作成したデータベースのみで、システムデータベースなどDBMSが内部的に使用する領域は暗号化できない。

TDEはOracle DatabaseやSQL Server、MySQL（InnoDB）などが標準で対応しており、PostgreSQLなど追加のソフトウェアで実現可能なシステムもある。