マネージド・キー暗号化について

InterSystems IRIS® データ・プラットフォームにはマネージド・キー暗号化のサポートが含まれています。これは保存データを保護する一連のテクノロジです。これらのテクノロジには以下のものがあります。

• ブロック・レベルのデータベース暗号化 (単にデータベース暗号化とも呼ばれます) — すべてのデータが暗号化されるデータベースの作成と管理を可能にする管理ツールのセット。そのようなデータベースは、管理ポータルで管理されます。

• アプリケーションのデータ要素暗号化 (単にデータ要素暗号化とも呼ばれます) — ディスクにおける格納や取得の際に個々のデータ要素 (特定のクラス・プロパティなど) の暗号化および解読を行うコードをアプリケーションで含めることができるようにする、プログラムによるインタフェース。

• 暗号化キー管理 (単にキー管理とも呼ばれます) — データベースまたはデータ要素を暗号化するために使用するキーを作成および管理するためのツールのセット。

データベースまたはデータ要素を暗号化するためのキーは、データ暗号化キーと呼ばれ、単にキーと呼ばれる場合もあります (コンテキストが明確な場合)。各インスタンスでは、データベース暗号化用のデータ暗号化キーを最大 256 個、データ要素暗号化用のデータ暗号化キーを最大 4 個同時に有効化できます。キーを有効化することで、そのキーを暗号化操作と解読操作に利用できるようになります。

暗号化キーは以下の 2 つの方法で保存できます。

• 標準のマシン上のキー・ファイル

• Key Management Interoperability Protocol (KMIP) を介してキーにアクセス可能な専用ハードウェア

InterSystems IRIS では、インスタンスによるディスクに対する書き込みまたは読み取りの際に、AES (Advanced Encryption Standard) を使用して暗号化と解読が実行されます。データベースの場合、InterSystems IRIS は固定長ブロックで書き込みと読み取りを行い、単一のラベル・ブロックを除き、データベース全体が暗号化されます。この暗号化されるコンテンツには、データ自体、インデックス、ビットマップ、ポインタ、割り当てマップ、およびインクリメンタル・バックアップ・マップが含まれます。データ要素の場合、指定されたデータのみが暗号化され、暗号化キーの一意の識別子は暗号化データと共にディスクに格納されます。

暗号化と解読は最適化されていて、どのような InterSystems IRIS プラットフォームでも、暗号化と解読による影響は少なくて予測可能ですInterSystems IRIS データベース暗号化が、データベースに関連するがデータベースとは分離されている機能に与える影響の詳細は、"暗号化とデータベース関連機能" を参照してください。