データベース暗号化は、ディスクヘの書き込みまたはディスクからの読み取りで、暗号化と復号が実行されます。アプリケーションのロジックに手を加える必要はありません。
この機能についてのドキュメントは以下になります。
マネージド・キー暗号化【IRIS】
暗号化データベース作成までの流れは、以下のようになります。
(1) 暗号化キーの作成
(a) 管理者 ユーザ名/パスワード
(b) 暗号化キーファイル
(2) 暗号化キーの有効化
(3) 暗号化されたデータベースの作成
暗号化データベース作成後の運用については、以下のような項目があります。
○ データベース暗号化の起動設定(暗号化キーの有効化をどのように行うか)
暗号化されたデータベースは、"暗号化キーの有効" が行われてアクセス可能となります。
既定の設定では、"暗号化キーの有効"を行いませんので、ここで運用の形態として以下の3 つがあります。
① キーを有効化しない起動の構成
既定の設定のまま、インスタンス起動時に "暗号化キーの有効" を行わず、暗号化されたデータベースをマウントする前に管理ポータルなどから "暗号化キーの有効" を行う
ただし、以下の場合はこの運用は適応できません。
② インタラクティブ(対話式)にキーを有効化する起動の構成
インスタンス起動時に、インタラクティブに "暗号化キーの有効" をおこないます。
③ 無人でキーを有効化する起動の構成
インスタンス起動時に、自動的に "暗号化キーの有効" をおこないます。
セキュリティの強度については、①および②の運用の方が、③よりも強度が高くなります。
詳細は、下記ドキュメントページをご確認ください。
データベース暗号化の起動設定の構成【IRIS】
○暗号化キーファイル および 管理者とパスワードの管理方法(管理をどうするか)
暗号化キーの有効化するには以下の2 つが必要です。
(a) 管理者 ユーザ名/パスワード
(b) 暗号化キーファイル
これらに関して、ファイルの損失、管理者のユーザ名/パスワードの失念や漏えい等から防ぐ方法については、以下のドキュメントページをご確認ください。
暗号化データのアクセスにおける偶発的な損失からの保護【IRIS】
暗号化データのアクセスにおける偶発的な損失からの保護
○ 緊急事態(緊急事態の対処方法)
緊急事態として以下の場合の対処については下記ページをご確認ください。
緊急事態【IRIS】
有効なキーが保存されているファイルが損傷したり紛失した場合【IRIS】
起動時に必要なデータベース暗号化キー・ファイルが存在しない場合【IRIS】
緊急事態
有効なキーが保存されているファイルが損傷したり紛失した場合
起動時に必要なデータベース暗号化キー・ファイルが存在しない場合