暗号化キー管理とデータセキュリティの10のベストプラクティス

コンテンツ

• 暗号化と復号化のプロセスの分散化
• 分散実行による中央キー管理
• 複数の暗号化メカニズムのサポート
• 認証用の集中ユーザープロファイル
• キーのローテーションまたは有効期限が切れた場合の復号化または再暗号化なし
• 包括的なログと監査証跡を維持する
• バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
• アプリケーション全体の一般的な暗号化/復号化ソリューション
• サードパーティ統合
• 最小特権の原則
• 頻繁なバックアップ
• 結論

出典：Yap Kee Chan / Dreamstime

取り除く：

データセキュリティに対する新しい脅威は絶えず表面化しています。これらの10のヒントは、暗号化によりデータを安全に保つのに役立ちます。

現代のアプリケーションでは、データ暗号化は開発の重要な部分になっています。すべてのデータには独自の重要性があり、暗号化メカニズムやセキュリティ機能がなければ、それらを脆弱なままにすることはできません。データの暗号化は、データベース、ファイルシステム、およびデータを送信するその他のアプリケーションに存在するデータの主要な保護手段になりました。データセキュリティの大きさを考えると、暗号化メカニズムとデータセキュリティを実装する際にベストプラクティスに従う必要があります。

ここでは、暗号化メカニズムとデータセキュリティを実装する際に従うべきベストプラクティスをいくつか説明します。

暗号化と復号化のプロセスの分散化

これは、データセキュリティ計画の設計と実装の重要な側面です。選択肢は、ローカルレベルで実装して企業全体に配布するか、別の暗号化サーバー上の中央の場所に実装することです。暗号化および復号化プロセスが配布される場合、キーマネージャはキーの安全な配布と管理を保証する必要があります。ファイルレベル、データベースレベル、およびアプリケーションレベルで暗号化を実行するソフトウェアは、ユーザーにアプリケーションへのフルアクセスを許可しながら、最高レベルのセキュリティを提供することでよく知られています。暗号化と復号化の分散型アプローチには、次の利点があります。

• より高い性能
• より低いネットワーク帯域幅
• 高可用性
• データのより良い伝送

分散実行による中央キー管理

ハブスポークアーキテクチャに基づくソリューションは、優れたアーキテクチャと見なされます。このアーキテクチャにより、エンタープライズネットワーク内の任意の場所に暗号化および復号化ノードを配置できます。スポークキー管理コンポーネントは、さまざまなノードに簡単に展開でき、暗号化アプリケーションと統合できます。展開され、スポークコンポーネントの準備が整うと、暗号化/復号化タスクが実行されるノードレベルですべての暗号化/復号化メカニズムが利用可能になります。このアプローチにより、データネットワークのトリップが減少します。このアプローチは、ハブコンポーネントの障害によるアプリケーションのダウンタイムのリスクも減らします。キーマネージャは、スポークで使用されるキーの生成、安全な保管、および有効期限の管理を担当する必要があります。同時に、有効期限が切れたキーはノードレベルで更新する必要があります。

複数の暗号化メカニズムのサポート

利用可能な最高の暗号化メカニズムが実装されている場合でも、さまざまな暗号化技術をサポートすることを常にお勧めします。これは、合併や買収の場合に不可欠になります。 2つのシナリオのいずれかでは、エコシステム内のビジネスパートナーと協力する必要があります。主要な業界標準の暗号化アルゴリズムをサポートするセキュリティシステムを導入することにより、新しい政府の規則や規制を受け入れる組織の準備が整います。 （データを安全に保つために、暗号化以上のものが必要な場合があります。暗号化だけでは十分ではありません：データセキュリティに関する3つの重要な真実をご覧ください。）

認証用の集中ユーザープロファイル

データの機密性を考えると、適切な認証メカニズムを用意することが不可欠になります。これらのデータへのアクセスは、キーマネージャで定義されたユーザープロファイルに基づいている必要があります。ユーザープロファイルに関連付けられている暗号化されたリソースにアクセスするには、認証されたユーザーのみが資格情報を割り当てられ、発行されます。これらのユーザープロファイルは、キーマネージャーで管理者権限を持つユーザーの助けを借りて管理されます。一般的に、ベストプラクティスは、単一のユーザーまたは管理者がキーに単独でアクセスできないアプローチに従うことです。

キーのローテーションまたは有効期限が切れた場合の復号化または再暗号化なし

暗号化されるすべてのデータフィールドまたはファイルには、キープロファイルが関連付けられている必要があります。このキープロファイルには、アプリケーションがデータフィールドまたはファイルの暗号化解除に使用する暗号化されたリソースを識別できる機能があります。したがって、暗号化されたデータのセットを復号化してから、キーの有効期限が切れたり変更されたときにそれらを再暗号化する必要はありません。新たに暗号化されたデータは最新のキーを使用して復号化されますが、既存のデータについては、暗号化に使用された元のキープロファイルが検索され、復号化に使用されます。

包括的なログと監査証跡を維持する

ロギングは、アプリケーションの重要な側面です。アプリケーションで発生したイベントを追跡するのに役立ちます。広範なログは、分散アプリケーションの場合に常に役立ち、キー管理の重要なコンポーネントです。高度な機密性のために暗号化されたデータセットへのすべてのアクセスは、次の情報で詳細に記録する必要があります。

バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド

誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。

• 機密データにアクセスした機能の詳細
• 機密データにアクセスしたユーザーの詳細
• データの暗号化に使用されるリソース
• アクセスされているデータ
• データにアクセスする時間

アプリケーション全体の一般的な暗号化/復号化ソリューション

フィールド、ファイル、データベースを暗号化するには、一般的な暗号化メカニズムに従うことが常にベストプラクティスです。暗号化メカニズムは、暗号化または復号化するデータを知る必要はありません。暗号化する必要があるデータとメカニズムも特定する必要があります。暗号化されると、データにアクセスできなくなり、ユーザー権限に基づいてのみアクセスできます。これらのユーザー権限はアプリケーション固有であり、管理ユーザーが制御する必要があります。 （暗号化の詳細については、「暗号化の信頼を深める」を参照してください。）

サードパーティ統合

企業では、多数の外部デバイスを使用することが一般的なアプローチです。これらのデバイスは、ネットワーク上に分散されたPOS（Point of Sale）デバイスである場合があります。これらには典型的なデータベース指向のアプリケーションはなく、独自のツールを使用して単一機能専用です。サードパーティのアプリケーションと簡単に統合できる暗号化メカニズムを使用することは、常に良いアプローチです。

最小特権の原則

どうしても必要な場合を除き、管理者特権の使用を必要とするアプリケーションを使用しないことを常にお勧めします。パワーユーザーまたは管理者権限を持つユーザーを介してアプリケーションを使用すると、アプリケーションがセキュリティの脅威やリスクに対して脆弱になります。

頻繁なバックアップ

データセキュリティの主要な側面の1つは、データのバックアップです。感度の大きさを考えると、すべてのデータを毎日バックアップする必要があります。バックアップしたデータを復元し、アプリケーションの正確性を確認することも重要です。

結論

暗号化と復号化は、今日のビジネスの世界でデータを安全に保つために不可欠です。これらのアドバイスに従うと、データはdata索好きな目から安全に保たれるはずです。