MySQL暗合鍵管理サービス Server General KMS

MySQLの透過的暗号化機能をビジネスで利用するために

Server General KMSで簡単暗号鍵管理

 暗合鍵管理って何?

データを暗号化するときは必ず暗合鍵が作成されます。この暗号鍵によってデータは暗号化したり復号化することができます。MySQLではバージョン5.7から標準で透過的暗号化機能を利用できるようになりました。もちろんここでも暗号鍵が使われます。この暗号鍵のライフサイクル(生成、保管、保存、読み出し、配布、使用停止及び破壊)を管理することです。

 暗号化の設定方法は?

MySQLの暗号化の設定はたった二行で終わりです。

innodb_file_per_table = 1
early-plugin-load=keyring_file.so

 暗合鍵はどこにある?

このときに作成される暗号鍵はサーバのローカルディスクに保存されます。

 何が問題なのですか?

暗号鍵がローカルディスクに保存されて、まったく保護されていないことです。この状態では、誰でも鍵を取り出すことが可能で、暗号化している意味がほとんどありません。また、PCI-DSSなどの国際的なセキュリティ基準では、暗合鍵を物理的に離れた場所に保存することが求められています。

複雑な暗合鍵管理を自動化

この暗号鍵の管理システムを自分たちで構築するのは、とても手間がかかります。Server General KMSは、複雑な暗合鍵鍵管理を簡単に実現できるサービスです。

暗号鍵を、さらに暗号化してクラウドへ

Server General KMSは、暗合鍵を、もう一度暗号化して保護し、専用クラウドへ保存します。

無料でMySQLの暗号化に関する悩みにお答えします

MySQLの暗号化に関する課題をお持ちでお困りの方は、お気軽に無料コンサルティングにお申し込みください。
お客様の課題や問題点をお聞きした上で、ご提案・アドバイスいたします。

商品概要

2016年にオラクルはMySQLに透過的データ暗号化(TDE)機能を追加しました。この新しい機能を手にすることで、データベース管理者は、MySQLデータベースサーバの中に保存される重要な情報をプライバシの保護やデータ漏洩の防止のために、暗号化することが可能になりました。さらにこの機能は無料のMySQL Community Editionでも利用できます。しかしながら、このコミュニティ版とエンタープライズ版の両方とも適切な暗合鍵管理が欠如しています。オラクルはMySQLのマスター暗合鍵の管理のために、Oracle Key Vault(又は、他のKMIP準拠の鍵保管庫)の使用を推奨しています。これらのソリューションの費用は運用に何百万もかかってしまいます。これは中小企業にとっては大きな負担です。

Server General KMS for MySQLとは?

Server General KMS for MySQLは自分たちで高価な鍵管理システムを構築するというような達成が困難なことはできないけれでども、TDEの機能を使いたいと思っているMySQLのユーザのための鍵管理サービスです。このサービスはユーザに代わって我々のサービスに鍵管理を任せることができます。 我々は24時間256日、セキュリティの専門家たちが管理するグローバルな鍵管理インフラを持っています。我々は暗号鍵を安全に保存し、必要なときに承認された個人が利用できます。我々の鍵管理の手続きはHIPPA/HITECHなどのさまざまな規則のデータコンプライアンスを満たすかそれ以上になるように設計されています。通常であれば我々のサービスは30分もあればインストールと設定が可能です。このサービスは中小企業のために作られました。

Where to store the MySQL master encryption key?

The MySQLのマニュアルでは: “Warning - The InnoDB tablespace encryption feature in non-enterprise editions of MySQL uses the keyring_file plugin for encryption key management, which is not intended as a regulatory compliance solution. Security standards such as PCI, FIPS, and others require use of key management systems to secure, manage, and protect encryption keys in key vaults or hardware security modules (HSMs).“(訳)「警告 - MySQLの非エンタープライズ版のInnoDB表領域暗号化機能は、暗号化キー管理にkeyring_fileプラグインを使用しますが、これは法令遵守のためのものではありません。 PCI、FIPSなどのセキュリティ標準では、主要な管理システムを使用して、鍵保管庫またはハードウェアセキュリティモジュール(HSM)の暗号化キーを保護、管理、保護する必要があります。」

上記の声明は、適切な鍵管理ソリューションなしでMySQL TDE機能を使用している企業に深刻な懸念を提起しています。 さらに、暗号鍵を安全な場所に保存するだけでなく、権限のある鍵管理者に必要なときに暗号鍵を使用できるようにし、鍵保管庫へのそのようなアクセスがすべて改ざんできないログエントリを生成するようにしなければなりません。

Server General KMS

主な機能

Server General KMSは、安全なプラットフォームであるServer Generalの上に構築されています。 当社のプラットフォームの主要コンポーネントは、データ暗号化エンジン、鍵管理エンジン、アクセス制御エンジン、およびレポートエンジンです。 各コンポーネントは、MySQLマスター鍵(MMK)を保護する上で重要な機能を果たします。Server General KMSの主な機能は次のようなものがあります。

セキュリティ

Server General KMSは、セキュリティを強化したアプライアンスまたは完全に管理された鍵管理インフラストラクチャを使用して、暗号鍵を保管するための安全な場所を提供します。 私たちは、権限のないアクセスを防ぐために、ロールベースのアクセス制御メカニズムを使用しています。 すべての特権操作のログは、改ざんを防ぐために4つの異なる場所に記録されます。

あらゆるクラウド環境で動作

Server General KMSでは、分散クラウドプラットフォーム(Amazon、Google、Rackspace、またはお客様のデータセンター内)に分散しているデータベースサーバーの暗号化キーを集中管理できます。

"root"ユーザからの保護

通常、MySQLサーバーは、許可されていない「root」または特権を持つ内部者は、再起動時暗合鍵にアクセスできます。 信頼できない「root」ユーザー、またはサーバーへの「root」アクセス権を取得した攻撃者から暗合鍵を守ります。

クラウドまたはオンプレミスキーロッカー

究極のコントロールはあなたのもとにあります。 オンプレミスまたはクラウドロッカー内に配置された安全なアプライアンスに暗号鍵を格納することができます。 マスター暗号鍵は、あなたにしか知られていない鍵で暗号化されます。 このようにして、実際の暗号化キーにアクセスすることはありません。

ログ管理

暗号鍵へのアクセス記録はすべてログに残すことができます。またこのログは改ざんできないようにしてクラウド上に保存されます。

マネージドサービス

Server General KMSは、可用性とセキュリティを確保しながら、独自の暗号化キーを制御できる管理サービスです。

低価格

主要な管理ソリューションが簡単に数百万円のコストをかける可能性のある他のベンダーとは異なり、私たちは自信を持って実用的なサービスプロバイダーです。安価なクラウドロッカーで始めても、専用のキーロッカーアプライアンスを自分のネットワーク内にで導入してもかまいません。

コンプライアンス

Server General KMSでは、暗号化されたデータから離れた場所に暗号鍵を保存することができます。 また、独自のネットワーク内にキーロッカを配置することによって、コンプライアンスの範囲を制限することもできます。 鍵の生成、保管、ローテーション、失効の機能を提供します。

バイナリログの保護

MySQL TDEは、REDOログ、UNDOログ、およびバイナリログファイルを暗号化しません。 攻撃者がOS層でサーバーを正常に侵害すると、これらのログファイルを簡単に読み取ることができます。 Server General KMSはこれらのファイルを暗号化できます。

安価なシステム

多くの商用の鍵管理システムは年間数百万近いライセンス費用が必要で、中小企業にとってはコストがかかりすぎます。Server General KMSは年額24万円から利用可能です。

MySQL Editions(商用版MySQL)を同時購入した方には暗号化システムのコンサルティングと導入支援サポートが付属

標準パッケージ

MySQL Standard Edition
Server General KMS
コンサルティング
リモート導入支援

1-4ソケット・1サーバ

68万円/年額

今なら

48万円/年額

特別パッケージ

MySQL Enterprise Edition
Server General KMS
コンサルティング
リモート導入支援

1-4ソケット・1サーバ

104万円/年額

今なら

84万円/年額

又は、Server General KMSのみの導入もサポート

Server General KMS

Server General KMS

24万円/年額

導入支援は初回のみ別途8万円

無料でMySQLの暗号化に関する悩みにお答えします

MySQLの暗号化に関する課題をお持ちでお困りの方は、お気軽に無料コンサルティングにお申し込みください。
お客様の課題や問題点をお聞きした上で、ご提案・アドバイスいたします。