適用対象: 
SQL Server - Windows のみ
サーバーに証明書がインストールされている場合、 [MSSQLSERVER のプロトコルのプロパティ] ダイアログ ボックスの [フラグ] タブを使用して、プロトコルの暗号化の表示や指定を行います。インスタンス オプションを非表示に設定することもできます。 [強制的に暗号化] の設定を有効または無効にするには、SQL Server を再起動する必要があります。
接続を暗号化するには、証明書を付けて SQL Server データベース エンジン を提供する必要があります。 証明書がインストールされていない場合、SQL Server はインスタンスの開始時に自己署名証明書を生成します。 この自己署名証明書は、信頼された証明機関から発行された証明書の代わりに使用することはできますが、認証や否認防止は提供されません。
注意事項
自己署名入りの証明書を使用して暗号化されたトランスポート層セキュリティ (TLS) (旧称 Secure Sockets Layer (SSL)) 接続では、強力なセキュリティは提供されません。 man-in-the-middle (中間者) 攻撃を受ける可能性が高くなります。 実稼働環境やインターネットに接続しているサーバーでは、自己署名証明書を使用した TLS 接続は使用しないことをお勧めします。
ログイン プロセスは常に暗号化されます。 [強制的に暗号化] が [はい] に設定されているときは、クライアントとサーバーのすべての接続が暗号化されます。そのため、データベース エンジンに対するクライアント接続は、サーバー証明書のルート機関を信頼するように構成する必要があります。
暗号化の詳細については、「接続を暗号化するために SQL Server データベース エンジンを構成する」を参照してください。
クラスター サーバー
フェールオーバー クラスターで暗号化を使用する場合は、フェールオーバー クラスター内のすべてのノードに対して、仮想サーバーの完全に修飾された DNS 名でサーバー証明書をインストールする必要があります。 たとえば、test1.contoso.com および test2.contoso.com というノードを持つ 2 ノードのクラスターと、virtsql という仮想サーバーがあるとします。この場合、virtsql.contoso.com の証明書を両方のノードにインストールする必要があります。 その後、SQL Server 構成マネージャーで [F強制的に暗号化] チェック ボックスをオンにすれば、フェールオーバー クラスターの暗号化を構成できます。
オプション
[強制的に暗号化]
暗号化とは、データを読み取り不可能な形式に変更することにより、秘密情報を保護する方法です。 仮に転送プロセスで転送パケットが閲覧されることがあっても、暗号化していればデータは安全です。 チャネル バインドを使用するには、 [強制的に暗号化] を [オン] に設定し、 [詳細設定] タブで [拡張保護] を構成します。
詳細については、「接続を暗号化するために SQL Server データベース エンジンを構成する」を参照してください。
厳密な暗号化を強制する
適用対象: SQL Server 2022 (16.x) 以降のバージョン。
SQL Server ネットワーク構成では、すべてのクライアントが暗号化の種類として strict (厳密) を使用するように強制されます。 厳密な接続暗号化を使用しないクライアントおよび機能は、SQL Server に接続できません。
厳密な暗号化を有効にするには、自己署名ではない証明書を追加する必要があります。また、TDS 8.0 をサポートするドライバーをアプリケーションで使用する必要があります。 詳細については、TDS 8.0 のサポートに関する記事を参照してください。
[インスタンスの非表示]
SQL Server Browser サービスは、 データベース エンジン [参照] ボタンを使用してこの インスタンスを表示しようとするクライアントに対してこのインスタンスを公開しません。 サーバー上の名前付きインスタンスに接続するには、クライアント アプリケーションはプロトコル エンドポイント情報を指定する必要があります。 たとえば、tcp:server,5000 など、ポート番号または名前付きパイプ名を指定します。 詳しくは、「SQL Server へのログイン」をご覧ください。