Amazon RDS Custom で D’Amo を使用した安全なデータ暗号化を実装する

Penta Security は、AWS のデータ暗号化パートナーであり、 27年間の顧客のサイバーセキュリティを担当した企業で、データセキュリティ、ウェブセキュリティ、認証セキュリティの領域で安全なクラウド環境を提供しています。

韓国のデータセキュリティ市場で 15 年間シェア 1 位を守り続けている D’Amo は、グローバル CC 認証および韓国国家情報院の認証を受けた暗号化モジュールを通じて、顧客の重要データを安全に保護し、国内外のプライバシー関連コンプライアンスをすべて遵守しています。

D’Amo は、強力なデータ暗号化技術に基づき、次の機能を提供します。

顧客のビジネス環境に最適化された全システムレイヤーでの暗号化サービスを提供
韓国国家情報院認証の暗号化モジュールを使用した安全な暗号化アルゴリズムの提供
カラム単位の暗号化と DB アクセス制御機能の提供
クラウド環境専用の鍵管理システム D’Amo KMS を用いた暗号鍵、外部鍵、Oracle TDE 鍵など、企業全体の暗号鍵管理
統合された集中管理システム D’Amo Control Center によるインフラ内の暗号化製品とサーバー管理のサポート

Amazon RDS Custom での D’Amo による暗号化・復号環境の構築

Amazon RDS Custom は Oracle と Microsoft SQL Server エンジンをサポートしています。 Amazon RDS Custom は、Amazon RDS が提供しているスナップショットやバックアップ、リカバリ機能、パッチ適用サポート、データベースのモニタリング、ログ管理など多くの管理機能を提供します。さらに、SYSDBA および OS レベルのアクセスが可能なため、これまでの Amazon RDS では対応できなかった暗号化ソリューションの導入や、パッケージアプリケーション（例えば、ERP、MES、SCM、HRなど）のデータベースとしても利用できます。

また、Amazon RDS for Oracle がサポートしていない Oracle 12c などのバージョンも利用でき、Oracle RMAN や Data Guard、DB Vault、Flashback といった機能やサードパーティ製ソリューションもインストールして使用することが可能です。

通常の Amazon RDS インスタンスでは OS および SYSDBA へのアクセスができないため、商用データベースセキュリティソリューションの構築が難しい状況でした。しかし、Amazon RDS Custom インスタンスであれば、OS と SYSDBA へのアクセスが可能なため、D’Amo を利用して安全な暗号化・復号環境を構築することができます。

図1 – DB 暗号化ソリューションの観点からの Amazon RDS とAmazon RDS カスタムアーキテクチャの比較

Penta Security は、Amazon RDS Custom インスタンス上で D’Amo が正常に動作することを確認するため、以下の項目について検証を行いました。

D’Amo テスト環境

OS: Oracle Linux
DBMS: Oracle Database 19c、12c (64 bit)

D’Amo 機能検証リスト

主な検証機能
- 暗号化ポリシーの管理機能：管理ツールで設定した暗号化ポリシーの正常動作確認
- VTI (View/Trigger Interface) モードでカラムの暗号化・復号：管理ツールによるVTI暗号化作業の正常動作確認
- API モードでカラムの暗号化・復号：管理ツールによる API 暗号化作業の正常動作確認

図 2 – 暗号化ポリシー管理、VTI 及び API 暗号化・複合の正常動作結果画面

- カラムアクセス制御：管理ツールで設定した対象カラムへのアクセス許可・遮断が正常に動作することの確認
- ポリシーアクセス制御：管理ツールで設定した対象ポリシーへのアクセス許可・遮断が正常に動作することの確認
- 暗号化・復号権限制御：管理ツールで設定した権限による暗号化・復号の許可・遮断が正常に動作することの確認

図3 – 暗号化・復号の権限、カラムおよびポリシーへのアクセス制御の正常動作結果画面

追加の動作確認
- DB キー管理、カラムインデックスの設定、ストレージ設定などの DBMS 管理機能の正常動作確認

Penta Security は、Amazon RDS Custom 環境で 79 の検証項目が正常に動作することを確認し、D’Amo の Amazon RDS Custom 環境での正式サポートを発表しました。

Amazon RDS Custom での D’Amo の暗号化タイプ

D’Amo は、Amazon RDS Custom インスタンスを使用しているお客様向けに、D’Amo DA と DP の両製品を提供しており、企業環境に最適な暗号化方式を選択できます。

D’Amo DA（DBMS Application 暗号化）：D’Amo DA は、DBMS の内部に暗号化・復号 API をインストールして暗号化を行う製品で、DB サーバーの負荷を最小限に抑えて運用できる点が特徴です。また、暗号化対象のテーブル名やカラム名を変更せずに暗号化環境を構築できます。
D’Amo DP（DBMS Pakage 暗号化）：D’Amo DP は、DBMS に暗号化パッケージをインストールして暗号化を行う製品でカラム単位の暗号化、アクセス制御、権限制御など多様な管理機能を提供します。アプリケーションと独立した暗号化方式として動作するため、クエリやコードの変更を最小限に抑えて構築することが可能です。

D’Amo を構築するお客様のための多様なサポート特典

D’Amo は、オンプレミス環境で暗号化を適用していたお客様が Amazon RDS Custom に切り替える際に、既存の RDB 構造を維持します。また、検証済みの暗号モジュールを通じて、アプリケーションを変更せずにお客様のビジネス環境に合わせた暗号化を提供します。なお、Amazon RDS Custom でサポートされている Oracle や Microsoft SQL Server のすべてのバージョンに 100％対応しています。

さらに、Penta Security は AWS の公式 ISV パートナーとして、D’Amo を活用するお客様に向けて、さまざまな特典を提供しています。

AWS PoC サポート：既存のインフラストラクチャから AWS への移行や、クラウド環境に不慣れなお客様に対し、カウンセリングおよび技術サポートを提供します。
AWS クレジットの提供：D’Amo のインストールや内部テストのための AWS クレジットを提供することでコスト負担を軽減し、企業のデータベース環境に最適な暗号化ソリューションを構築できます。
トレーニングサポート：クラウドおよびデータ暗号化担当者のデジタルスキル向上のための個別トレーニングをサポートします。

今後、Penta Security は AWS と継続的に協力し、Amazon RDS Custom サービスに合わせたさまざまな機能や特典を拡充していきます。PoC サポート、クレジット提供、トレーニングサポートの詳細については、AWS の担当営業チームまたは Penta Security 営業チーム（cloudbiz@pentasecurity.com）までお問い合わせください。

サマリー

既存のオンプレミス（レガシー）環境やカスタム環境の制約により Amazon RDS の利用が難しかったお客様は、Amazon RDS Custom を活用することで、Amazon RDS の便利な管理機能を利用できます。
Amazon RDS Custom 環境で信頼性が証明されている Penta Security の D’Amo は、企業の重要な情報を安全に保護し、国内外のプライバシーに関するコンプライアンス要件をすべて満たすことができます。
Penta Security の D’Amo を導入する際には、AWS の公式 PoC サポートやテスト用クレジットの提供、トレーニングサポートなど、さまざまな支援を受けることが可能です。

D’Amo の詳細については、Penta Security の Web サイトを参照してください。

翻訳はソリューションアーキテクト鄭宇鎭（ジョンウジン）が担当しました。原文はこちらです。

Amazon Web Services ブログ