SQL Server とデータベースの暗号化キー (データベース エンジン)
SQL Server では、暗号化キーを使用して、サーバー データベースに格納されているデータ、資格情報、および接続情報のセキュリティを保護します。使用されるキーには、対称および非対称の 2 種類があります。対称キーでは、データの暗号化と暗号化解除に同じパスワードが使用されます。非対称キーでは、データを暗号化するパスワード (公開キー) とデータの暗号化を解除するパスワード (秘密キー) が使い分けられます。
SQL Server の暗号化キーでは、公開キー、秘密キー、対称キーを組み合わせて機密データの保護に使用します。対称キーは、SQL Server インスタンスを最初に起動するときの SQL Server 初期化時に作成されます。SQL Server は、このキーを使用して SQL Server に格納されている機密データを暗号化します。公開キーと秘密キーはオペレーティング システムによって作成され、これらのキーを使用して対称キーが保護されます。公開キーと秘密キーのペアは、データベースに機密データを格納する SQL Server インスタンスごとに作成されます。
SQL Server およびデータベース キーの用途
SQL Server では、キーに 2 つの主要な用途があります。1 つは SQL Server インスタンスに対して生成されるサービス マスタ キー (SMK)、もう 1 つはデータベースに使用されるデータベース マスタ キー (DMK) です。
SMK は、SQL Server インスタンスの初回起動時に自動的に生成され、リンク サーバーのパスワード、資格情報、およびデータベース マスタ キーの暗号化に使用されます。SMK は、Windows データ保護 API (DPAPI) を使用するローカル コンピュータ キーを使用して暗号化されます。DPAPI では、SQL Server サービス アカウントの Windows 資格情報およびコンピュータの資格情報から派生するキーが使用されます。サービス マスタ キーの暗号化を解除できるのは、作成元のサービス アカウント、またはコンピュータの資格情報にアクセスできるプリンシパルに限られています。
データベース マスタ キーは対称キーで、証明書の秘密キーやデータベース内にある非対称キーを保護するときに使用されます。このキーはデータの暗号化にも使用できますが、長さに制限があるため、対称キーに比べるとデータに対する実用性は低くなります。
このマスタ キーは、その作成時に、トリプル DES アルゴリズムとユーザー指定のパスワードを使用して暗号化されます。マスタ キーの暗号化を自動的に解除できるように、SMK を使用してこのキーのコピーが暗号化されます。暗号化されたコピーは、使用先のデータベースおよび master システム データベースの両方に格納されます。
master システム データベースに格納された DMK のコピーは、DMK が変更されるたびに自動的に更新されます。ただし、この既定の動作は ALTER MASTER KEY ステートメントの DROP ENCRYPTION BY SERVICE MASTER KEY オプションを使用して変更できます。サービス マスタ キーで暗号化されていない DMK を開くには、OPEN MASTER KEY ステートメントとパスワードを使用する必要があります。
SQL Server およびデータベースのキーの管理
暗号化キーの管理は、新しいデータベース キーの作成、サーバーおよびデータベースのキーのバックアップ作成、およびキーの復元、削除、変更のタイミングと方法を把握することによって行われます。
対称キーを管理するには、SQL Server 付属のツールを使用して以下の作業を行います。
サーバーを復旧させるため、または計画的な移行の一環として使用できるように、サーバーおよびデータベースのキーのコピーをバックアップします。
以前に保存したキーをデータベースに復元します。これにより、新しいサーバー インスタンスは、そのインスタンスで暗号化していない既存のデータにアクセスできるようになります。
暗号化されたデータにアクセスできなくなった場合は、データベース内の暗号化されたデータを削除します。
キーに障害が起きた場合は、そのキーを再作成し、データを再暗号化します。セキュリティを高めるには、キーを定期的 (たとえば数か月ごと) に再作成して、キーを解読しようとする攻撃からサーバーを保護する必要があります。
複数のサーバーが 1 つのデータベースとそのデータベースの暗号化を解除するキーの両方を共有する場合は、サーバー スケールアウト配置に対してサーバー インスタンスを追加または削除します。
重要なセキュリティ情報
サービス マスタ キーで保護されているオブジェクトにアクセスするには、そのキーの作成に使用された SQL Server サービス アカウント、またはコンピュータ アカウントのいずれかが必要です。つまり、コンピュータはキーが作成されたシステムに関連付けられています。SQL Server サービス アカウントまたはコンピュータ アカウントを変更しても、キーにアクセスできなくなることはありません。ただし、両方を変更するとサービス マスタ キーにはアクセスできなくなります。この 2 つのアカウントが一方しかない状態でサービス マスタ キーにアクセスできなくなると、元のキーで暗号化されたデータとオブジェクトは暗号化解除できなくなります。
サービス マスタ キーで保護されている接続は、サービス マスタ キーがないと復元できません。
データベース マスタ キーで保護されたオブジェクトとデータにアクセスする場合は、そのキーを保護する際に使用されたパスワードのみが必要です。
.gif "注記") 注意 |
|---|
上記のキーすべてにアクセスできなくなると、それらのキーで保護されているオブジェクト、接続、およびデータにもアクセスできなくなります。ここで示したリンクの説明に従ってサービス マスタ キーを復元するか、または元の暗号化システムに戻ってアクセスを復旧します。アクセスを復旧するための "抜け道" はありません。 |
このセクションの内容
サービス マスタ キー
サービス マスタ キーとその推奨事項について簡単に説明します。拡張キー管理 (EKM) について
SQL Server でサード パーティのキー管理システムを使用する方法について説明します。SQL Server とデータベースの暗号化キーの操作方法に関するトピック
SQL Server およびデータベースの暗号化キーを操作する手順について説明します。