データベース暗号化ソフト「D’Amo」
PCI-DSSやログ監査への対応、できていますか?
企業内の重要なデータをカラム単位で暗号化し、
外部への流出の危険からデータを安全に保護します!
POINT1
内部不正による情報漏えいの脅威
IPA(独立行政法人情報処理推進機構)は、社会的影響が大きかった情報セキュリティトピックのトップ10を選出し、「情報セキュリティ10大脅威」として順位を決定し公表しています。その中で、内部不正による情報漏えいの脅威が順位を上げています。
POINT2
データベースからの情報漏えいの痛手は甚大
ランサムウェア対策や標的型攻撃等からのリスクを回避するために、企業はさまざまな対策へ投資を続けてきました。中でもとりわけ経営層を悩ませているのが、内部の悪意を持った人間による不正なアクセスによる情報漏えいです。大量の個人データが格納されている“データベース”からの情報流出はノートPCの紛失などで発生するのとは比較にならない大きな痛手となります。
POINT3
データベースからの情報漏えいをどう防ぐか
主なデータベースセキュリティ対策は、「データベース暗号化」「アクセス制御」「ログ監査」の3つです。
データベース暗号化による機密性の高いデータの暗号化、職責に応じた権限の付与、ユーザのデータ操作ログを取得し不正アクセスを検知/通知する仕組みが必要となります。
特にデータベース暗号化は、PCI-DSSや、HIPAA/Hitech、GDPRなど、コンプライアンスやデータプライバシーに関するほぼすべての規格や要件において、推奨のベストプラクティスとなっています。
データベース暗号化にともなう課題は?
-
既存システム変更のハードル
既存環境への暗号化構築のためにアプリケーション開発を余儀なくされると、多くの開発者は恐れます。導入時の多額の開発コストを要するのではないかと経営層も尻込みします。
-
安全性を担保できるのか?
データベースを安全に運用するためには、データベースへのアクセスを制御したりデータベースの稼働を監視するなどの機能が必須となります。鍵管理もしっかりなされていないと情報漏えいの恐れが発生します。
-
セキュリティ専門人材の不在
データベース暗号化の仕組みを既存のアプリケーション上で構築した場合、開発担当者が不在、あるいは会社を辞めたとき誰が運用管理を行うのか、という問題もあります。専門人材が不在によって運用できない仕組みは現実性がありません。
-
暗号化前後のパフォーマンス劣化が不安
データベース暗号化でデータベース全体を暗号化してしまうと、著しいパフォーマンスの劣化が発生し運用に耐えられなくなるかもしれません。パフォーマンスの劣化を避ける対策が必要となります。
-
汎用性と拡張性はあるか?
データベースセキュリティを考える際、データベース暗号化だけではなくアクセス制御や監査の機能が求められます。
また、データベース暗号化の強化にはデータ単位での細かなセキュリティ設定が必要となります。
データベース暗号化ソフト「D’Amo」なら!
データベース暗号化の課題を
「D’Amo」(ディアモ)が解決!
特徴1
課題の解決
既存システムの変更
なし
データベース暗号化ソフト「D’Amo」はカラム単位で暗号化。暗号化のための追加コーディングが必要なく、既存システムに対し、修正等の影響を与えずに適用できます。暗号化や復号を意識することなく、暗号化データを扱うことができます。
- 透過型暗号化
-
- 既存システムに対し簡単導入
- アプリケーションに対し独立性
安全性を確保
データベース管理者とセキュリティ管理者の完全分離を実現。データベース暗号化ソフト「D’Amo」はセキュリティ管理者のみ暗号化・復号の権限を付与することで、データベース管理者は復号の権限がなければ、暗号化されたデータの中身を参照することはできません。
- 職務分掌を実現
-
- 権限管理を実現
汎用性と拡張性
データベース暗号化ソフト「D’Amo」ならではの暗号化・復号の機能。さらに、アクセス制御およびログ監視、暗号化されたデータに対するアクセスの監査レポートなどの監査機能のトータルセキリュティを提供します。
- トータルセキュリティ
-
- 暗号化
復号 - アクセス
制御 - 監査
- 暗号化
パフォーマンスを維持
機密性の求められるデータのみをカラム単位で暗号化できるため、適所暗号化を実現。データベース暗号化ソフト「D’Amo」は高パフォーマンスを維持します。
- カラム単位の暗号化
-
- 暗号化後のパフォーマンス確保
- 重要データを識別
セキュリティ専門人材
は不要
データベース暗号化ソフト「D’Amo」はOracleおよびMS SQL Server、「MyDiamo」ではOSS(オープン・ソース・ソフトウェア)のMySQL, MariaDB, PostgreSQLに対応。専門的知識を要さず数日で導入が完了します。また、「D’Amo」はDBのエディションを問いません。
- DB Plug-In方式
-
- ADD-ONで暗号・復号の
モジュールを導入
- ADD-ONで暗号・復号の
特許技術の保有
属性維持暗号化を採用したデータセキュリティ方法および装置等、「D’Amo」は日本において、6件の特許を取得。特許技術の保有により製品優位性を担保します。
- 評価に基づく実績
-
- 5,500ユーザ以上に選ばれている
信頼の暗号化ソリューション
- 5,500ユーザ以上に選ばれている
世界標準の認証アルゴリズム
データベース暗号化ソフト「D’Amo」は、米国国立標準技術研究所FIPS暗号化モジュール認証を取得。暗号化アルゴリズムは世界標準の AES / 3DES / SEED / ARIA に対応しています。PCI-DSSにも対応し、鍵管理も万全です。
- PCI-DSSへの対応
-
- グローバルスタンダードの
クレジットカード情報保護
セキュリティ対策
- グローバルスタンダードの
特徴2
豊富な機能
データベース暗号化ソフト「D'Amo」は、データベースセキュリティ対策で求められる「データベース暗号化」「アクセス制御」「ログ監査」の3大機能を持っています。
- データベース暗号化
データベース暗号化ではデータを変形し、無意味なビットに置き換えることにより、情報窃盗そのものの意義をなくし、情報漏えいの抑止力となります。情報が流出された場合でも、情報の内容が露出される最悪の事態を発生させません。
- ログ監査
ユーザのデータ操作ログを取得し、不正アクセスを検知/通知します。データベース暗号化ソフト「D’Amo」は、暗号化カラムのアクセスログを監査することで、不正なアクセス履歴やデータ漏えいの有無(復号事象の有無)の証跡管理を行うことができます。
- アクセス制御
アクセス制御はセキュリティ対策の基本です。データベース暗号化ソフト「D'Amo」は、セキュリティ管理者とデータベース管理者の操作権限分割するなど、権限の一極集中を避け、職責に応じた権限を付与できます。
特徴3
PCI-DSSの完璧な準拠
PCI-DSSは、カード会員情報の保護を目的として、国際ペイメントブランド5社が共同で策定したカード情報セキュリティの国際統一基準です。
カード会社はもちろん、カード情報を「保存、処理、伝送」する事業者であるカード加盟店や銀行、決済代行サービス企業などが、PCI-DSSに準拠する必要があります。データベース暗号化ソフト「D'Amo」は、PCI-DSSや個人情報保護法などで要求されるデータベースに対する機密データの暗号化・アクセス制御・ログ監査が可能です。
「D’Amo」は、トークナイゼーションの特徴であるフォーマット維持を実現。平文の属性(長さ、タイプ)を維持しながらデータの暗号化・復号を実行(NISTのFPE(形式保存暗号化方式)標準運用モード採用)します。
特徴4
OSSに対応する「MyDiamo」
メーカーでもあるペンタセキュリティシステムズ株式会社は、日本国内においてデータベース暗号化のためのソフトを2種類提供しています。
商用DBMSであるOracleとMicrosoft SQL Serveに対応する「D’Amo」とは別に、世界初のオープンソースデータ暗号化ソリューションである「MyDiamo(マイ・ディアモ)」を用意。対応DBMSとしてはMySQL、MariaDB、PostgreSQLなどがあり、ECビジネスを展開する企業を中心にその利用が高まっています。
「D’Amo」と「MyDiamo」は、カラム単位の暗号化や権限付与、アクセスコントロール、ログ監査、PCI-DSS準拠等のコンセプトは同じですが、暗号化手法が異なります。「D’Amo」がDBに暗号化・復号のモジュールをアドオンするDB PLUG-IN方式なのに対し、「MyDiamo」は既存のDBMSエンジンとストレージエンジンの間にMyDiamo暗号化エンジンを搭載することだけで暗号化・復号を実行するIN-place方式(DBエンジン方式)となります。
システムプラザでの導入がオススメの理由
システムプラザならデータベース暗号化ソフト
「D'Amo」の導入も運用も安心!
理由1
一次代理店だから最新の提案ができる
システムプラザは一次代理店としてメーカーのペンタセキュリティシステムズ株式会社から最新の技術やノウハウを吸収できます。同社と歩調を合わせ、データベース暗号化ソフト「D'Amo」の拡売と導入に協力してきました。基幹系の構築からセキュリティ強化まで、トータルなITの知見をベースに、お客様企業に適したアドバイスを提供できます。
理由2
セキュリティ関連のDB製品の取扱い実績が豊富
データベース暗号化、ログ監査、個人情報匿名化等の分野でDB関連ソリューションを数多く取り扱っております。また、エンドポイント(PC)においても標的型攻撃対策、ネットワーク分離対策等のセキュリティ製品を取り扱っており「外部からの脅威」「内部からの脅威」両面からの支援が可能です。
D’Amo/MyDiamo ケーススタディ
ケーススタディ:銀行とIT企業におけるデータベース暗号化ソフト「D'Amo」導入の目的と効果
BEFORE
導入目的/導入前問題点
■金融A社では顧客情報システムの統合にともない高度なセキュリティ対策が必要となったが、DBセキュリティ対策において「データベース暗号化」「ログ監視」を行うためにはアプリ再開発などかなりのコストと時間をかける必要があると考えていた。
■SI’er B社では、人事情報の安全保管と漏えい防止対策が必要となった。人事関連部署社員であっても個人情報を自由閲覧できないアクセスコントロールが必要となったが、これには費用と時間が懸案となった。
AFTER
導入効果
■データベース暗号化ソフト「D’Amo」はアプリケーションの再開発を必要としないため、短期間での導入に成功。暗号化/ログ監視/アクセス制御により高度なセキュリティ対策を実現できたうえ低価格での導入により当初予算より大幅なコスト削減に成功した。
■人事情報を暗号化することで安全保管と漏えい防止が実現でき、アクセスコントロールとログ監視の強化を図ることができた。また、インストールとテストのみで再開発なしで導入でき、期間も1週間という短期で実装できた。
コラム
MyDiamoが優秀賞の候補に採択
2019年12月2日、オープンソースデータベース暗号化ソリューション「MyDiamo」がSCメディア主催のSC Magazine Awards USの「最高のデータベース・セキュリティソリューション(Best Database Security Solution)」部門のファイナリストとして採択されました。
SC Magazine Awardsは約30年にわたってサイバーセキュリティ分野をリードする専門家および製品・サービスを選定し賞を授与するイベントであり、業界においてその権威と影響力が認められています。
セキュリティ産業分野の専門家たちの厳選な審査により受賞者が決められ、データベース部門以外にも、クラウドコンピューティング、フォレンジックソリューション、認証技術など、さまざまな分野における専門性が高く優秀な企業が授賞しています。
「MyDiamo」は世界初のオープンソースデータベース暗号化ソリューションで、アプリケーションおよびクエリの修正が不要でカラム単位暗号化を提供する透過型暗号化(Transparent column Encryption、TDE)方式により、暗号化の適用後にもパフォーマンス劣化がほとんどありません。暗号化機能に加え、アクセス制御およびログ監査、鍵管理の機能を提供するのみならず、HIPAAやPCI-DSSなどのコンプライアンスに準拠。統合データベースセキュリティを実現しており特にMySQL・MariaDB・PerconaDB・PostgreDB等のさまざまなオープンソースDBMS環境をサポートしています。
詳細は以下の動画をご覧ください。