セキュリティの機能強化 (データベース エンジン)

チャネル バインドとサービス バインドを使用した認証の拡張保護のサポートは、拡張保護をサポートしているオペレーティング システムで使用できます。詳細については、「拡張保護を使用したデータベース エンジンへの接続」を参照してください。

オブジェクトを暗号化するときは、is_objectsigned、asymkeyproperty、symkeyproperty、CRYPT_GEN_RANDOM、KEY_NAME、および sys.fn_check_object_signatures という新しい関数が役立ちます。

透過的なデータ暗号化 (TDE) では、アプリケーションを変更することなくデータベース ファイルを自動的に暗号化する新しいデータベース オプションが導入されています。これにより、認証されていないユーザーがデータベース ファイルまたはデータベース バックアップ ファイルを取得した場合でも、このようなユーザーはデータベースにアクセスできなくなります。データベースの暗号化の詳細については、「透過的なデータ暗号化 (TDE) について」を参照してください。

拡張キー管理 (EKM) 機能により、サード パーティの企業キー管理およびハードウェア セキュリティ モジュール (HSM) ベンダーは、独自のデバイスを SQL Server に登録できるようになります。登録後、SQL Server ユーザーはこれらのモジュールに格納されている暗号化キーを使用できるだけでなく、これらのモジュールがサポートしている一括暗号化/暗号化解除などの高度な暗号化機能や、キー エージング、キー ローテーションなどの数多くのキー管理機能を利用できるようになります。この機能により、データベース管理者 (sysadmin グループのメンバーを除く) からのデータの保護も実現されます。データは Transact-SQL 暗号ステートメントを使用して暗号化および暗号化解除できます。SQL Server では外部の EKM デバイスをキー ストアとして使用します。拡張キー管理の詳細については、「拡張キー管理 (EKM) について」を参照してください。

DES アルゴリズム名が明瞭化され、TRIPLE_DES_3KEY を使用できるようになりました。詳細については、「CREATE SYMMETRIC KEY (Transact-SQL)」を参照してください。

RC4 アルゴリズムは推奨されません。この機能は、Microsoft SQL Server の将来のバージョンで削除されます。新規の開発作業ではこの機能を使用しないようにし、現在この機能を使用しているアプリケーションはできるだけ早く修正してください。AES など、別のアルゴリズムを使用してください。詳細については、「CREATE SYMMETRIC KEY (Transact-SQL)」を参照してください。

オンライン ブックには、データベース エンジンの構成および使用に関する評価を行うためのセキュリティ チェック リストが含まれています。詳細については、「データベース エンジンのセキュリティ チェックリスト」を参照してください。