保存データ、移動中のデータ、使用中のデータのセキュリティを設計する
多くの組織では、電話番号、住所、注文、クレジット カード情報を格納している大規模な顧客データベースに対して Azure SQL Database を使用しています。 クラウドでホストされているデータベースへの不正なデータ アクセスを防止するためのセキュリティ ソリューションが必要になります。 機密度とビジネス シナリオ別に保存データを分類することは、データに関連するリスクを社内で判断するのに役立ちます。
優れた情報セキュリティには、データの検出、分類、保護という 3 つの基本的な考え方があります。 このユニットでは、さまざまなデータの状態と、これらの考え方を強力なセキュリティ ソリューションに適用するための暗号化方法を確認します。
構造化データのデータ暗号化
データは、保存データ、移動中のデータ、処理中のデータの 3 つの基本的な状態になります。
保存データ は、移動または使用されていないストレージ デバイス上のデータです。 保存データには、Outlook の受信トレイに保存されているアーカイブされたメール メッセージや、使われていないノート PC 上のファイルが含まれます。 データ プライバシー、コンプライアンス、データ主権を確保するうえで、保存データの暗号化は欠かせません。
移動中のデータ (転送中のデータとも呼ばれます) は、プライベート ネットワークまたはインターネットなどのパブリック ネットワーク内のデバイス間で移動されるデータです。 また、移動中のデータは、読み取り (使用) されているが変更されていないデータである場合もあります。 移動中のデータには、転送中の電子メール メッセージ、インターネット Web サイトの閲覧、組織図などの会社のアプリケーションの使用が含まれます。
処理中のデータは、開かれて変更されているデータです。 処理中のデータには、メール メッセージの書き込み、作業ファイルの保存、Web サイトからの注文が含まれます。
データの状態ごとに異なる暗号化方法があります。 次の表はその方法をまとめたものです。
| データの状態 | 暗号化方法 | 暗号化レベル |
|---|---|---|
| 静止時のデータ | Transparent Data Encryption (TDE) | 常に暗号化されます。 |
| 移動中のデータ | Secure Socket Layer と Transport Layer Security (SSL/TLS) | 常に暗号化されます。 |
| 処理中のデータ | 動的データマスキング | 特定のデータは暗号化されません。 残りのデータは暗号化されます。 |
データ暗号化について知っておくべきこと
Transparent Data Encryption (TDE) では、保存データを暗号化して、悪意のあるオフライン アクティビティの脅威から Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics を保護します。 TDE では、アプリケーションを変更する必要なしに、データベース、関連付けられたバックアップ、および保存されているトランザクション ログ ファイルの暗号化とその解除が、リアルタイムで実行されます。 既定では、新しくデプロイされるすべての Azure SQL データベースで TDE が有効になります。
Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics では、すべての接続に対して Secure Socket Layer と Transport Layer Security (SSL/TLS) の暗号化が常に適用されます。 この暗号化のレベルにより、すべてのデータがクライアントとサーバーの間で「転送中」に暗号化されます。 トランスポート層セキュリティ (TLS) は、Azure SQL Database または Azure SQL Managed Instance 内のデータベースへの接続のために Microsoft で提供またはサポートされているすべてのドライバーで使用されています。
使用中のデータには、動的データ マスキングと呼ばれるポリシー ベースのセキュリティ機能が採用されています。 この機能を使用すると、データベース内のデータは変更しないで、指定されたデータベース フィールドに対するクエリの結果セットで機密データを非表示にすることができます。 動的データ マスキングを使用すると、公開する機密データの量を顧客が指定できるようにすることで、機密データに対する承認されていないアクセスを防ぎ、アプリケーション レイヤーへの影響は最小限に抑えることができます。
ヒント
Azure SQL Database と Azure SQL Managed Instance 学習モジュールの計画と実装のセキュリティを使用して学習を拡張します。