DPSの運用にあたって統合管理ツールESA(Enterprise Security Administrator)の導入が必要となります。
▶DPSの管理ツールESA(Enterprise Security Administrator)のFAQはこちら
Question
- Q1. ▶暗号化が可能なデータの形式は?
- Q2. ▶暗号化するとカラムのサイズは増えますか?
- Q3. ▶暗号鍵はユーザ毎に設定できますか?
- Q4. ▶暗号鍵は同時に複数使用できますか?
- Q5. 1ユーザが複数のロールの属せますか?
- Q6. ▶トランザクションログは暗号化されるのでしょうか?
- Q7. ▶トランザクションログが暗号化される場合、トランザクションログからDBを復旧するにはどのようするのでしょうか?
- Q8. ▶レプリケーション先も暗号化されるか?
- Q9. ▶マスターキーとキー管理キーは幾つ持てますか?
- Q10. ▶HSMと併用できますか?
- Q11. ▶Oracle RACをサポートしていますか?
- Q12. ▶ESAをインストールする推奨スペックと機種は?
- Q13. ▶暗号鍵の交換(ローテーション)を定期的に変更したい場合、自動化することはできますか?
例)3か月に1度、暗号鍵の変更をバッチ実行で自動化したい。 - Q14. ▶ESAサーバのハード障害時は、カラムの暗号化/キーローテーションなどの管理ツールからの利用は可能ですか?
- Q15. ▶暗号化項目へのアクセス、復号したデータのアクセスは可能ですか?
- Q16. ▶ログの収集はDBサーバのPEPサービス側で収集しており、ESAサーバ復旧後、ESAサーバに転送されるのでしょうか?
- Q17. ▶PEPサービス側に収集したログは、ESAサーバに転送後に削除されますか?
- Q18. ▶システム、ログ、DB暗号化設定(ポリシー、ロール等)のバックアップを取得する機能やツールはありますか?
- Q19. ▶「いつ/どのDBユーザが/どのテーブルに対して/どのような操作を行ったか」のログ出力を行うことは可能ですか? 「Adhoc Database Protector Audirts」では、「いつ/どのDBユーザが/どのような操作を行ったか」が表示されます。テーブルに対してのログを表示する方法を教えてください。
- Q20. ▶インストール及び設定にはどれくらい時間が掛かりますか?
- Q21. ▶暗号化によるパフォーマンスの劣化はどれくらいですか?
Answer
- 1. 暗号化が可能なデータの形式は?
- Oracle, MS SQL Server, Teradata, DB2などのデータベース毎に、暗号化が可能なデータ形式は変わります。
詳しくは、MONET社にお問い合わせください。 - 2. 暗号化するとカラムのサイズは増えますか?
- 増えます。
AESや3DESなど共通鍵暗号は、8バイトや16バイトのブロック単位で暗号化が行われますので、それらのブロック境界に満たないデータ長のデータにはパディングされてから暗号化されます。 - 3. 暗号鍵はユーザ毎に設定できますか?
- ロール(役割)ベースで、暗号鍵の使用許可と使用可能時間帯を設定できます。
ユーザはロールに属します。 - 4. 暗号鍵は同時に複数使用できますか?
- できます。
暗号化するカラム毎に別々の暗号鍵を使用することも可能です。 - 5. 1ユーザが複数のロールの属せますか?
- 属せます。
(ロール間の最小権限が割り当てられます。) - 6. トランザクションログは暗号化されるのでしょうか?
- 暗号化対象のカラムのデータは、トランザクションログにも暗号化のまま出力されます。
- 7. トランザクションログが暗号化される場合、トランザクションログからDBを復旧するにはどのようするのでしょうか?
- 暗号データのまま、通常の復旧手順で復旧します。
- 8. レプリケーション先も暗号化されるか?
- 暗号化されます。
(レプリケーション先にもDPSコンポーネントのインストールが必要です。) - 9. マスターキーとキー管理キーは幾つ持てますか?
- 1時点で1つずつです。それぞれ鍵は更新できます。
- 10. HSMと併用できますか?
- マスターキーは、HSMで保護できます。
- 11. Oracle RACをサポートしていますか?
- サポートしています。
- 12. ESAをインストールする推奨スペックと機種は?
- CPU: Xeon 5500番台以上 x 1
Memory: 4GB以上
HDD: 300GB以上
NIC: Gigabit Ether x 2 以上
物理サーバ: IBM x3550, HP DL360, DELL PowerEdge R310
仮想サーバ: VMWare ESX/ESXi/Server, Citrix XenServer, Microsoft Hyper-V
▶関連項目・ESA(Enterprise Security Administrator)のFAQはこちら - 13. 暗号鍵の交換(ローテーション)を定期的に変更したい場合、自動化することはできますか?
例)3か月に1度、暗号鍵の変更をバッチ実行で自動化したい。 - 可能です
暗号鍵のローテーション(キー・ローテーション)は、SQLスクリプトで行います。atコマンドやcronを使用することで、SQLスクリプトの自動実行が可能です。 - 14. ESAサーバのハード障害時は、カラムの暗号化/キーローテーションなどの管理ツールからの利用は可能ですか?
- ESAサーバの障害時は、各種管理ツールの利用は行えません
- 15. 暗号化項目へのアクセス、復号したデータのアクセスは可能ですか?
- ESAサーバに障害があったとしても、暗号化項目へのアクセス、復号したデータへのアクセスは影響ありません
- 16. ログの収集はDBサーバのPEPサービス側で収集しており、ESAサーバ復旧後、ESAサーバに転送されるのでしょうか?
- ログの収集は、PEPサービス側で収集し蓄積しており、ESAサーバ復旧後に転送されます
- 17. PEPサービス側に収集したログは、ESAサーバに転送後に削除されますか?
- はい
PEPサービス側に収集したログは、ESAサーバに転送後に削除されます
- 18. システム、ログ、DB暗号化設定(ポリシー、ロール等)のバックアップを取得する機能やツールはありますか?
-
システム
(ESA上で)GUIまたは/etc/opt/scripts/Scheduler/backupツールを使用します。以下はオプションです。
ログ
(ESA上で)/etc/opt/scripts/Scheduler/db-backupツールを使用します。以下はオプションです。
DB暗号化設定(ポリシー、ロール等)
(ESA上で)GUIツールまたはOSコマンドでマスターキーをバックアップします。
DB暗号化キー、ポリシー、ロールはESA上でOSコマンドにより以下のファイルをバックアップします。
/opt/protegrity/defiance_dps/data/adminserver.db
/opt/protegrity/defiance_dps/data/keystore.db - 19. 「いつ/どのDBユーザが/どのテーブルに対して/どのような操作を行ったか」のログ出力を行うことは可能ですか? 「Adhoc Database Protector Audirts」では、「いつ/どのDBユーザが/どのような操作を行ったか」が表示されます。テーブルに対してのログを表示する方法を教えてください。
-
レポートは新規作成や、カスタマイズが可能で、「いつ、/どのDBユーザが/どのテーブルに対して/どのような操作を行ったのか」のログが出力できます。
ただし、DPSで保護しているカラムを操作した場合に限られます。
- 20. インストール及び設定にはどれくらい時間が掛かりますか?
- 簡易お見積りのワークシートをご用意しております。
MONET社にお問合せ下さい。 - 21. 暗号化によるパフォーマンスの劣化はどれくらいですか?
- MONET社にお問合せ下さい。