ストレージ暗号化 すとれーじあんごうか
暗号化AES保存データ暗号化KMSLUKSBitLocker
ストレージ暗号化について教えて
簡単に言うとこんな感じ!
ディスクやファイルに保存されたデータを「鍵がないと読めない暗号文」に変換する仕組みだよ。HDDが盗まれても中身が見えないし、クラウドの管理者にも見せないためにも必須の技術なんだ!
ストレージ暗号化とは
ストレージ暗号化とは、ハードディスクやSSD、クラウドストレージなどに保存されるデータを暗号化し、正しい鍵を持つ者だけが読み書きできる状態にする技術です。英語では「Encryption at Rest(保存データの暗号化)」と呼び、通信中のデータを守る「Encryption in Transit」と対になる概念です。
暗号化の主な目的はデータの機密性保護です。物理ディスクの盗難・紛失時や、クラウドプロバイダーの内部関係者による不正アクセス、不正なスナップショット取得などに対して有効です。GDPRやPCIダウンSSなどの法規制でも保存データの暗号化が求められることが増えています。
現代のストレージ暗号化では、AES-256(Advanced Encryption Standard)がデファクトスタンダードです。これはNSAが機密情報の保護にも使用する強度で、現実的な時間では解読不可能とされています。
暗号化の種類と比較
| 種類 | 粒度 | 代表技術 | 特徴 |
|---|---|---|---|
| フルディスク暗号化 | ディスク全体 | BitLocker, FileVault, LUKS | OS起動時に復号。管理が簡単 |
| ファイルシステム暗号化 | ファイル単位 | eCryptfs, fscrypt | ファイルごとに異なる鍵が使える |
| データベース暗号化(TDE) | テーブル/カラム単位 | SQL Server TDE, MySQL keyring | DBレベルで透過的に暗号化 |
| アプリケーション暗号化 | データ項目単位 | アプリ実装 | 最も細かい制御が可能 |
| クラウドマネージド | オブジェクト/ボリューム単位 | AWS EBS暗号化, GCS CMEK | クラウドが管理。導入が容易 |
鍵管理の方式
- プロバイダー管理鍵(SSE-S3等) — クラウドが鍵を管理。楽だが管理者は鍵にアクセス可能
- KMS管理鍵(SSE-KMS等) — KMSで鍵を管理。アクセス権をコントロールできる
- 顧客管理鍵(SSE-C / CMEK) — 顧客が鍵を管理。最高の制御性だが鍵紛失=データ消失
歴史と背景
- 1970年代 — DESが標準暗号として登場。ストレージ暗号化の基礎を形成
- 2001年 — AESがNISTにより標準化。現在の主流アルゴリズムに
- 2007年 — TrueCryptがオープンソースのフルディスク暗号化ツールとして普及
- 2010年前後 — クラウドストレージの普及に伴い保存データ暗号化の需要が急拡大
- 2013年 — Snowdenによる情報漏洩で、クラウドプロバイダーによるデータアクセスへの懸念が増大
- 2018年 — GDPR施行。個人データの暗号化が事実上必須に
クラウドサービスでの暗号化オプション
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| FIPS 140-2 / 140-3 | 暗号モジュールのセキュリティ要件(米国政府標準) |
| NIST SP 800-111 | ストレージデバイスの保護ガイドライン |
| AES (FIPS 197) | Advanced Encryption Standardの仕様 |
| ISO/IEC 27040 | ストレージセキュリティの国際標準 |
関連用語
- KMS — 暗号化キーを一元管理するサービス
- HSM・エンベロープ暗号化 — ハードウェアによる最高レベルの鍵保護
- Secrets Manager・Key Vault — 秘密情報の安全な保管
- S3互換ストレージ(MinIO) — S3での暗号化設定と連携