次の方法で共有


チェックリスト: 機微なデータの暗号化

このチェックリストは、環境内で暗号化が適切に使用されていることを確認するのに役立ちます。このチェックリストを使用して、SQL Server データベース エンジンでの暗号化の使用を定期的に監査してください。

データベース レベル

...

説明

ブール値フィールド アイコン
透過的なデータ暗号化を使用して、静止したデータの暗号化を評価しましたか (TDE は、SQL Server 2008 以降のバージョンで使用できます)。

ヒント: 詳細については、「透過的なデータ暗号化 (TDE) について」を参照してください。

ブール値フィールド アイコン
対称キーを使用して機微なデータを暗号化し、非対称キーまたは証明書を使用して対称キーを保護していますか。

ヒント: 詳細については、「暗号化階層」を参照してください。

ブール値フィールド アイコン
構成のセキュリティを最大限に強化するために、キーをパスワードで保護し、マスター キーの暗号化を削除しましたか。

ヒント: 詳細については、「CREATE MASTER KEY (Transact-SQL)」を参照してください。

ブール値フィールド アイコン
証明書のバックアップはありますか。

ヒント: サービス マスター キー、データベース マスター キー、および証明書をバックアップするには、キー固有の DDL ステートメントを使用します。sys.certificates の pvt_key_last_backup_date 列をクエリします。詳細については、「サービス マスタ キーをバックアップする方法」および「データベース マスタ キーをバックアップする方法」を参照してください。

ブール値フィールド アイコン
データベースをバックアップして対称キーと非対称キーをバックアップしましたか。

ヒント: 詳細については、「BACKUP (Transact-SQL)」を参照してください。

テーブル レベル

...

説明

ブール値フィールド アイコン
重要度の高い機密情報 (クレジット カード番号など) が、暗号化を使用して保存されていますか。

ヒント: データは、列レベルの暗号化を使用するか、暗号化関数を使用するアプリケーション関数によって暗号化できます。詳細については、「データ列を暗号化する方法」を参照してください。

ブール値フィールド アイコン
データに適した暗号化アルゴリズムを選択していますか。

ヒント RC4 など、古い暗号化アルゴリズムは使用を控えてください。詳細については、「暗号化アルゴリズムの選択」を参照してください。

透過的なデータ暗号化

TDE を使用する場合は、暗号化キーの保護とバックアップが適切に行われるように注意する必要があります。

...

説明

ブール値フィールド アイコン
データベース暗号化キーが証明書を使用して保護されている場合、その証明書はバックアップされていて、証明書と秘密キー ファイルのバックアップは適切に保護されていますか。

ヒント: 暗号化キーがリムーバブル メディア (CD またはフラッシュ ドライブ) にバックアップされている場合は、セキュリティで保護された場所 (アクセスが制御された安全な場所など) にキーのバックアップを保存します。別のハード ドライブにバックアップされている場合は、該当のコンピューターを適切に保護する必要があります。詳細については、「別の SQL Server への TDE で保護されたデータベースの移動」を参照してください。

ブール値フィールド アイコン
データベース暗号化キーが拡張キー管理 (EKM) を使用して保護されている場合、ハードウェア セキュリティ モジュールに格納されている非対称キーは適切に保護およびバックアップされていますか。

ヒント: 推奨設定については、HSM の製造元に問い合わせてください。

ブール値フィールド アイコン
古い証明書と秘密キーのバックアップを保持していますか。

ヒント: データベース暗号化キーが変更された場合、仮想ログ ファイルは新しいキーで再暗号化されません。以前のキーで暗号化されたままです。暗号化されたデータベースのログ バックアップを復元する必要がある場合、すべてのバックアップ ファイルの暗号化キーがないと、SQL Server でファイルを読み取ることができません。