SQL Server のことなら SQL Quality SQL Server パフォーマンス チューニング、コンサルティング、アドバイス、相談、定期診断、トレーニング

ホーム > 技術情報 > SQL Server 2012 自習書 セキュリティ

SQL Server 2012 自習書 「No.18 セキュリティ」(HTML 版)

松本美穂と松本崇博が執筆した完全オリジナル SQL Server 2012 自習書シリーズの「No.18 セキュリティ」の HTML 版です。 日本マイクロソフトさんの Web サイトで Word または PDF 形式でダウンロードできますが、今回、HTML 版として公開する許可をいただきましたので、ここに掲載いたします。[2013年12月29日]

目次へ | 前のページへ | 次のページへ

5.1 透過的なデータ暗号化(TDE: Transparent Data Encryption)

◆ 透過的なデータ暗号化

透過的なデータ暗号化は、データベース内のオブジェクトをすべて暗号化できる機能です。SQL Server 2005 のときには、EncryptByKey DecryptByKey を利用した暗号化機能が提供されていましたが、この機能を利用するには、アプリケーションを修正する必要がありました。そこで、SQL Server 2008 からは、アプリケーションを修正しなくてもよい(アプリケーションからは透過的に利用できる)暗号化機能として、透過的なデータ暗号化機能が提供されました。

透過的なデータ暗号化では、データベースに対して暗号化を設定するだけで、データベース内のすべてのオブジェクトが暗号化されるようになります(データ ファイル全体を暗号化することができます)。また、バックアップ ファイルも自動的に暗号化されるようになります。これにより、データ ファイル(.mdf)やハード ディスクが盗難に遭ったり、バックアップ テープが持ち出されてたとしても、(暗号が解読されない限り)データが読み取られることはありません。

◆ Let's Try

それでは、これを試してみましょう。

1.まずは、「enc」という名前のデータベースを任意の場所(C:\ など)へ作成します(CREATE DATABASE が失敗する場合は、「C:\」への書き込み権限を与えるか、書き込み権限のあるフォルダーを指定して作成してください)。

USE master
go
CREATE DATABASE enc
ON PRIMARY
 ( NAME = 'enc',
   FILENAME = 'C:\enc.mdf' )

2.次に、CREATE MASTER KEY ENCRYPTION ステートメントを利用して、マスター キーを作成します。

USE master
go
CREATE MASTER KEY ENCRYPTION
 BY PASSWORD = '>StrongPassword>'

00155

3.次に、CREATE CERTIFICATE ステートメントを利用して、サーバー証明書を「MyServerCert」 という名前で作成します。

CREATE CERTIFICATE MyServerCert
 WITH SUBJECT = 'My Certificate'

00156

4.続いて、このサーバー証明書を利用して、データベース暗号化キーを作成します(CREATE DATABASE ENCRYPTION KEY ステートメントを利用します)。暗号化アルゴリズムには、AES_128AES_192AES_256 などを選択できますが、今回は、次のように AES_128 を指定して作成します。

USE enc
go
CREATE DATABASE ENCRYPTION KEY
 WITH ALGORITHM AES_128
  ENCRYPTION BY SERVER CERTIFICATE MyServerCert

00157

実行後、証明書のバックアップに関する警告が表示されますが、これについては、後述します。

5.次に、ALTER DATABASE ステートメントを利用して、データベースに対して透過的なデータ暗号化を有効化します。

ALTER DATABASE enc
 SET ENCRYPTION ON

00158

以上で設定が完了です。

次に、この「enc」データベース内へテーブルを作成して、データを追加し、バックアップを実行してみましょう。

USE enc
go
-- テーブル作成
CREATE TABLE t1
( a int , b varchar(100) )
-- データ 3追加
INSERT INTO t1
 VALUES
     (1, 'aaaaaaaaaa')
    ,(2, 'あいうえ')
    ,(3, '暗号化されている')
    
SELECT FROM t1
-- データベースバックアップ
BACKUP DATABASE enc
 TO DISK = 'C:\enc.bak'

00159

次に、正しく暗号化されたかどうかを確認するために、SQL Server サービスを停止し、停止が完了した後に、データ ファイル「C:\enc.mdf」を任意のバイナリ エディター(Stirling など)で開いてみましょう。

00160

バイナリ エディターで開いても、どういったデータが格納されているかを読み取ることはできず、きちんと暗号化されていることを確認できます。同じように、バックアップ ファイル「C:\enc.bak」についても暗号化がされていることを確認しておきましょう。

なお、暗号化をしていないデータベースをバイナリ エディターで開いた場合は、次のようにデータを読み取ることが可能です。

00161

◆ GUI での設定方法

手順4「データベース暗号化キーの作成」と手順5「データベース対して暗号化を有効」については、Management Studio から GUI ベースで設定することもできます。これは、次のように対象となるデータベースを右クリックして[タスク]メニューの[データベース暗号化の管理]をクリックして行えます。

00162

目次へ | 前のページへ | 次のページへ

事例1

SQLQualityは執筆とセミナーを通じて技術の啓蒙やエンジニアの育成支援も行っています
最新刊
SQL Server 2016 の教科書
SQL Server 2016 の教科書(ソシム)

弊社オリジナル制作の
SQL Server 2016 自習書も
マイクロソフトのサイトで公開中!
ダウンロードはこちら
セミナー風景
セミナー風景

ロングセラー
ASP.NET でいってみよう  SQL Server 2000 でいってみよう
ASP.NET でいってみよう
第7刷 16,500 部発行
SQL Server 2000 でいってみよう
第12刷 28,500 部発行
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要
SQL Server 2014 CTP2 インメモリ OLTP 機能の概要(Amazon Kindle 書籍)

弊社執筆の
SQL Server 2014 自習書
マイクロソフトのサイトで公開中
目次はこちら

弊社執筆の
SQL Server 2012 自習書
マイクロソフトのサイトで公開中
ダウンロードはこちら
松本美穂のコラム
(公開活動などのお知らせ)

第60回:SQL Server 2017 自習書 No.3「SQL Server 2017 Machine Learning Services」のご案内
第59回:SQL Server 2017 自習書 No.2「SQL Server 2017 on Linux」のご案内
第58回:SQL Server 2017 自習書 No.1「SQL Server 2017 新機能の概要」のご案内
第57回:SQL Server 2017 RC 版とこれまでのドキュメントのまとめ
第56回:「SQL Server 2016 への移行とアップグレードの実践」完成&公開!
第55回:書籍「SQL Server 2016の教科書 開発編」(ソシム)が発刊されました
第54回:「SQL Server 2016 プレビュー版 Reporting Services の新機能」自習書のお知らせ
第 53 回:SQL Server 2016 Reporting Services の新しくなったレポート マネージャーとモバイル レポート機能
第 52 回:SQL Server 2016 の自習書を作成しました!
第 51 回:PASS Summit と MVP Summit で進化を確信!
第 50 回:新しくなった Power BI(2.0)の自習書を作成しました!
第49 回:Excel 2016 の Power Query を使う
第 48 回:新しくなった Microsoft Power BI ! 無料版がある!!
第 47 回:「Microsoft Azure SQL Database 入門」 完成&公開!
第 46 回:Microsoft Power BI for Windows app からの Power BI サイト アクセス
第 45 回:Power Query で取得したデータを PowerPivot へ読み込む方法と PowerPivot for Excel 自習書のご紹介
第44回:「SQL Server 2014 への移行とアップグレードの実践」ドキュメントを作成しました
第43回:SQL Server 2014 インメモリ OLTP 機能の上級者向けドキュメントを作成しました
第42回:Power Query プレビュー版 と Power BI for Office 365 へのクエリ保存(共有クエリ)
第41回:「SQL Server 2014 CTP2 インメモリ OLTP 機能の概要」自習書のお知らせです
第40回: SQL Server 2012 自習書(HTML版)を掲載しました
第39回: Power BI for Office 365 プレビュー版は試されましたか?
第38回: SQL Server 2014 CTP2 の公開
第37回: SQL Server 2014 CTP1 の自習書をご覧ください
第36回: SQL Server 2014 CTP1 のクラスター化列ストア インデックスを試す
第35回: SQL Server 2014 CTP1 のインメモリ OLTP の基本操作を試す
第34回: GeoFlow for Excel 2013 のプレビュー版を試す
第33回: iPad と iPhone からの SQL Server 2012 Reporting Servicesのレポート閲覧
第32回: PASS Summit 2012 参加レポート
第31回: SQL Server 2012 Reporting Services 自習書のお知らせ
第30回: SQL Server 2012(RTM 版)の新機能 自習書をご覧ください
第29回: 書籍「SQL Server 2012の教科書 開発編」のお知らせ
第26回: SQL Server 2012 の Power View 機能のご紹介
第25回: SQL Server 2012 の Data Quality Services
第24回: SQL Server 2012 自習書のご案内と初セミナー報告
第23回: Denali CTP1 が公開されました
第22回 チューニングに王道あらず
第21回 Microsoft TechEd 2010 終了しました
第20回 Microsoft TechEd Japan 2010 今年も登壇します
第19回 SQL Server 2008 R2 RTM の 日本語版が公開されました
第18回 「SQL Azure 入門」自習書のご案内
第17回 SQL Server 2008 自習書の追加ドキュメントのお知らせ
第16回 SQL Server 2008 R2 自習書とプレビュー セミナーのお知らせ
第15回 SQL Server 2008 R2 Reporting Services と新刊のお知らせ
第14回 TechEd 2009 のご報告と SQL Server 2008 R2 について
第13回 SQL Server 2008 R2 の CTP 版が公開されました
第12回 MVP Summit 2009 in Seattle へ参加

技術コミュニティでも活動中