このチェックリストは、環境内で暗号化が適切に使用されていることを確認するのに役立ちます。このチェックリストを使用して、SQL Server データベース エンジンでの暗号化の使用を定期的に監査してください。
テーブル レベル
.gif "ブール値フィールド アイコン") |
- 重要度の高い機密情報 (クレジット カード番号など) が、暗号化を使用して保存されていますか。
ヒント: データは、列レベルの暗号化を使用するか、暗号化関数を使用するアプリケーション関数によって暗号化できます。詳細については、「データ列を暗号化する方法」を参照してください。
|
|
- データに適した暗号化アルゴリズムを選択していますか。
ヒント RC4 など、古い暗号化アルゴリズムは使用を控えてください。詳細については、「暗号化アルゴリズムの選択」を参照してください。
|
透過的なデータ暗号化
TDE を使用する場合は、暗号化キーの保護とバックアップが適切に行われるように注意する必要があります。
|
- データベース暗号化キーが証明書を使用して保護されている場合、その証明書はバックアップされていて、証明書と秘密キー ファイルのバックアップは適切に保護されていますか。
ヒント: 暗号化キーがリムーバブル メディア (CD またはフラッシュ ドライブ) にバックアップされている場合は、セキュリティで保護された場所 (アクセスが制御された安全な場所など) にキーのバックアップを保存します。別のハード ドライブにバックアップされている場合は、該当のコンピューターを適切に保護する必要があります。詳細については、「別の SQL Server への TDE で保護されたデータベースの移動」を参照してください。
|
|
- データベース暗号化キーが拡張キー管理 (EKM) を使用して保護されている場合、ハードウェア セキュリティ モジュールに格納されている非対称キーは適切に保護およびバックアップされていますか。
ヒント: 推奨設定については、HSM の製造元に問い合わせてください。
|
|
- 古い証明書と秘密キーのバックアップを保持していますか。
ヒント: データベース暗号化キーが変更された場合、仮想ログ ファイルは新しいキーで再暗号化されません。以前のキーで暗号化されたままです。暗号化されたデータベースのログ バックアップを復元する必要がある場合、すべてのバックアップ ファイルの暗号化キーがないと、SQL Server でファイルを読み取ることができません。
|