保存時暗号化・転送時暗号化 ほぞんじあんごうか・てんそうじあんごうか
保存時暗号化転送時暗号化Encryption at RestEncryption in TransitTLSAES
保存時暗号化・転送時暗号化について教えて
簡単に言うとこんな感じ!
データを守るには「保存中」と「移動中」の2つの場面で暗号化が必要だよ。銀行の金庫に入れる(保存時)と、現金輸送車で運ぶ(転送時)をそれぞれ守るイメージなんだ!
保存時暗号化・転送時暗号化とは
データのセキュリティを考えるとき、データが「どこにあるか」によって必要な暗号化の方式が異なります。
保存時暗号化(Encryption at Rest) とは、ストレージ・データベース・ファイルシステムなどに保存されているデータを暗号化することです。物理的なドライブの盗難や、クラウドストレージへの不正アクセス時にデータを読めなくします。
転送時暗号化(Encryption in Transit) とは、ネットワーク上を移動中のデータを暗号化することです。通信の盗聴(パケットキャプチャ)や中間者攻撃からデータを守ります。HTTPSやVPNがその代表例です。
さらに近年は 処理中暗号化(Encryption in Use) として、メモリ上の計算処理中もデータを暗号化したまま処理できる「準同型暗号」や「コンフィデンシャルコンピューティング」も注目されています。
2種類の暗号化の比較
| 比較項目 | 保存時暗号化 | 転送時暗号化 |
|---|---|---|
| 保護する場面 | ストレージ・DB・バックアップ | ネットワーク通信中 |
| 主な技術 | AES-256、FDE、透過的データ暗号化(TDE) | TLS/HTTPS、VPN、SSH |
| 保護する脅威 | 物理盗難・不正アクセス・クラウド侵害 | 盗聴・中間者攻撃 |
| パフォーマンスへの影響 | 小〜中(ハードウェア支援あり) | 小(TLSのオーバーヘッドは小) |
| クラウドでの実装例 | S3 SSE、Azure Disk Encryption | HTTPS必須ポリシー |
歴史と背景
- 1990年代:ディスク全体暗号化(FDE)がノートPCの紛失対策として登場
- 2000年代:データベースの透過的データ暗号化(TDE)が普及
- 2013年:Snowden事件を機にクラウドストレージの保存時暗号化の需要が急増
- 2015年:Google「HTTPS everywhere」キャンペーンで転送時暗号化の普及を加速
- 2020年代:クラウドプロバイダーが保存時・転送時暗号化をデフォルト有効化
クラウドでの実装例
| クラウドサービス | 保存時暗号化 | 転送時暗号化 |
|---|---|---|
| AWS S3 | SSE-S3(AES-256、デフォルト有効) | HTTPS必須ポリシー設定可 |
| Azure Blob Storage | AES-256でデフォルト暗号化 | TLS必須 |
| Google Cloud Storage | AES-256でデフォルト暗号化 | TLS必須 |
| RDS / CloudSQL | 保存時暗号化オプション(KMS連携) | SSL/TLS接続 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| FIPS PUB 197 | AES(保存時暗号化の代表アルゴリズム) |
| RFC 8446 | TLS 1.3(転送時暗号化の標準) |
| NIST SP 800-111 | ストレージデバイスの暗号化ガイドライン |
| NIST SP 800-52 | TLSの選択・設定ガイドライン |
関連用語
- 共通鍵暗号(AES) — 保存時暗号化の中核アルゴリズム
- mTLS — 転送時暗号化のより強固な形態(相互認証付き)
- ポスト量子暗号 — 将来の量子コンピュータに対応する暗号技術
- クラウドコンピューティング — 保存時・転送時暗号化が特に重要なクラウド環境