データベースとデータの保護

[更新日:2025年09月30日]

データベースセキュリティの基盤

現代のビジネス環境において、データベースは企業の最も重要な資産の一つです。顧客情報、財務データ、業務データなど、機密性の高い情報を保存するデータベースサーバのセキュリティ確保は、企業の信頼性と継続性に直結します。データベースサーバ本体の保護、ネットワークアクセスの制御、そして実際に格納されるデータのセキュリティを多層的に確保することが重要です。

データベースセキュリティの基盤要素は以下のとおりです。

  • 多層防御:ネットワーク・システム・アプリケーション・データの各レベルでの保護

  • アクセス制御:認証・認可による厳格なアクセス管理

  • 暗号化:保存時・転送時両方でのデータ暗号化

  • 監査機能:すべてのデータベースアクセスの記録と分析

  • バックアップ保護:データ復旧能力の確保と保護

ユーザおよびネットワークアクセス制御

データベースへの不正アクセスを防ぐため、認証機能とネットワーク層での制御を組み合わせた包括的なアクセス制御が必要です。特にクラウド環境では、インターネットからの攻撃リスクが高まるため、より厳格な制御が求められます。

データベース認証に用いるパスワードは、推測されにくい強力なものを設定してください。パスワードは最低でも12文字以上の長さを確保し、英数字と記号を組み合わせた複雑な構成にすることが推奨されます。辞書に載っている単語や個人情報に関連する文字列の使用は避け、定期的なパスワード変更も実施してください。

プロジェクト管理においては、管理者プロジェクトとアプリケーション用プロジェクトを明確に分離し、それぞれに適切な権限を付与することで、セキュリティ侵害時の被害範囲を最小限に抑えることができます。また、可能な限り多要素認証(MFA)の導入も検討し、パスワード漏洩時のリスクを軽減してください。

アクセス制御の実装要素は以下のとおりです。

  • 認証強化:強固なパスワードポリシーと多要素認証

  • 権限分離:管理者権限とアプリケーション権限の明確な分離

  • ネットワーク制御:ファイアウォールとACLによる通信制限

  • セッション管理:データベースセッションの適切な管理

  • 監査ログ:すべてのアクセス試行の詳細な記録

プライベートサブネットの活用

DBシステムをプライベートサブネットに配置することで、インターネットからの直接的な不要な外部からのアクセスを完全に遮断できます。プライベートサブネットに配置されたデータベースは、同じプライベートサブネット内のリソースからのみアクセス可能となり、外部からの攻撃面を大幅に削減できます。この構成により、データベースへのアクセスは必ずアプリケーションサーバなどの中間層を経由することになり、セキュリティの多層化が実現されます。

管理目的でのアクセスが必要な場合は、踏み台サーバを経由するか、VPN接続を利用してください。踏み台サーバを使用する場合は、アクセスログの記録と定期的な監査を実施し、不正なアクセスを防止することが重要です。踏み台サーバ自体のセキュリティも強化し、必要最小限のソフトウェアのみをインストールし、定期的なセキュリティアップデートを実施してください。

プライベートサブネット活用の構成要素は以下のとおりです。

  • ネットワーク分離:インターネットからの直接アクセス遮断

  • 中間層制御:アプリケーション層経由でのアクセス制限

  • 踏み台サーバ:管理アクセス用の専用サーバ

  • VPN接続:セキュアな管理アクセス手段

  • 監視強化:プライベートネットワーク内の通信監視

ファイアウォール設定の最適化

ネットワークACLとパケットフィルタを適切に設定し、DBシステムへの必要なネットワークアクセスのみを許可してください。これら二重の保護により、よりきめ細かいアクセス制御が可能になります。

機能

適用範囲

状態管理

ルール形式

特徴

運用考慮事項

パケットフィルタ

インスタンス単位

ステートフル

ホワイトリスト形式

許可ルールのみ適用、戻りトラフィック自動許可

ルール変更の即時反映

ネットワークACL

サブネット単位

ステートレス

許可・拒否両対応

双方向ルール設定が必要、ルールの順序が重要

複雑なルール管理に注意

パケットフィルタはインスタンス単位で設定するステートフルなファイアウォール機能です。許可ルールはホワイトリスト形式で適用され、明示的に許可されていない通信は自動的にブロックされます。戻りトラフィックは自動的に許可されるため、管理が簡素化されます。

ネットワークACLはサブネット単位で設定するステートレスなファイアウォール機能です。トラフィックの許可・拒否ルールを設定でき、ブラックリスト形式でのアクセス制御も可能です。行きと戻りの両方向について明示的にルールを設定する必要があり、より厳密な制御ができます。

データベースポートへのアクセスは、必要最小限のIPアドレス範囲からのみ許可し、不要なポートは全て閉じてください。一般的なデータベースポート(MySQL:3306、PostgreSQL:5432、SQL Server:1433など)への不正アクセス試行は頻繁に発生するため、特に注意が必要です。

ファイアウォール最適化の要素は以下のとおりです。

  • 最小開放:必要最小限のポートとプロトコルのみ許可

  • 送信元制限:信頼できるIPアドレス範囲からのみアクセス許可

  • 定期見直し:ファイアウォールルールの定期的な見直し

  • 変更管理:ルール変更の承認プロセスと記録

  • 監視アラート:不正アクセス試行の検知と通知

データ暗号化の実装

データの機密性を保護するためには、保存時と転送時の両方で暗号化を実装することが不可欠です。暗号化により、たとえデータが不正に取得されても、内容を解読することは極めて困難になります。近年の個人情報保護法や各種規制の強化により、暗号化の実装は法的要件としても重要性が高まっています。

データ暗号化の実装要素は以下のとおりです。

  • 保存時暗号化:ディスク上のデータの完全暗号化

  • 転送時暗号化:ネットワーク通信の暗号化

  • アプリケーション暗号化:アプリケーションレベルでの機密データ暗号化

  • 鍵管理:暗号鍵の安全な管理と運用

  • 暗号化監査:暗号化状況の継続的な確認

保存時の暗号化

保存時の暗号化のため、データベースアプライアンスのディスク暗号化機能を適宜利用します。この機能により、サーバからストレージ領域に書き込まれる全てのデータが透過的に暗号化され、情報漏洩のリスクを大幅に低減します。暗号化はデータベースエンジンレベルで実行されるため、アプリケーションの変更は不要です。

バックアップファイルも自動的に暗号化されるため、バックアップデータの保護も同時に実現されます。暗号化アルゴリズムには、業界標準のAES-256を使用することが推奨されます。また、テーブル単位やカラム単位での選択的暗号化により、パフォーマンスと暗号化のバランスを最適化することも可能です。

保存時暗号化の構成要素は以下のとおりです。

  • 透過的データ暗号化(TDE):データベースエンジンレベルでの自動暗号化

  • ファイルシステム暗号化:OSレベルでのファイルシステム暗号化

  • カラムレベル暗号化:特定の機密データのみの選択的暗号化

  • バックアップ暗号化:バックアップデータの暗号化保護

  • インデックス暗号化:検索性能を維持した暗号化インデックス

転送時の暗号化

データベースクライアントとサーバ間の通信には、必ずSSL/TLS暗号化を使用してください。これにより、ネットワーク上でのデータ盗聴や中間者攻撃から確実に保護できます。接続文字列にSSL設定を含め、証明書の検証も有効にすることで、より強固なセキュリティが実現されます。古いTLSバージョン(TLS 1.0/1.1)は既知の脆弱性があるため、TLS 1.2以降の使用を強く推奨します。

SSL/TLS暗号化を実装する際は、証明書の有効期限管理も重要な要素となります。証明書の期限切れによる接続障害を防ぐため、自動更新の仕組みを構築するか、定期的な手動更新スケジュールを確立してください。また、暗号化強度の設定では、現在のセキュリティ標準に準拠した暗号スイートを選択し、脆弱な暗号化方式は無効化することが重要です。

転送時暗号化の構成要素は以下のとおりです。

  • SSL/TLS実装:最新のTLS標準による通信暗号化

  • 証明書管理:デジタル証明書の適切な管理と更新

  • 暗号スイート制御:強固な暗号化方式の選択と脆弱な方式の無効化

  • Perfect Forward Secrecy(PFS):セッション鍵の前方秘匿性確保

  • HSTS対応:HTTP Strict Transport Securityによる強制HTTPS化

鍵管理とシークレット保護

KMSによる包括的な鍵管理

暗号化の効果を最大化するためには、暗号鍵の適切な管理が不可欠です。鍵の生成、保管、ローテーション、廃棄の各フェーズにおいて、セキュリティベストプラクティスに従った運用が必要です。さくらのクラウドでは、次の暗号鍵管理サービスを提供しており、お客様ご自身で鍵の管理を行うことも、さくらのクラウドが提供する鍵管理サービスを利用することも可能です。

サービス

主な機能

適用場面

セキュリティレベル

運用負荷

KMS

鍵の生成・保管・取得・ローテート・破棄

一般的な暗号鍵管理

シークレットマネージャ

パスワード・APIキーの暗号化管理

認証情報管理

クラウドHSM

専用ハードウェアによる鍵管理

最高レベルセキュリティ要求環境

最高

KMS(Key Management Service)は、暗号鍵の生成、保管、取得、ローテート、破棄などを安全に行えるサービスです。HSM(Hardware Security Module)によって保護された環境で鍵が管理され、API経由でのアクセス制御と監査ログの記録が可能です。定期的な鍵のローテーションにより、長期間同じ鍵を使用することによるリスクを軽減できます。

シークレットマネージャは、パスワードやAPIキーなどのシークレット情報を暗号化して安全に管理・保管するサービスです。アプリケーションコード内にハードコードされた認証情報を排除し、実行時に安全に取得する仕組みを提供します。自動的なパスワードローテーション機能により、定期的な認証情報の更新を自動化でき、運用負荷を軽減しながらセキュリティを向上させます。

クラウドHSMは、専用ハードウェアを利用して暗号鍵などの重要な情報を安全に管理するサービスです。最高レベルのセキュリティが要求される環境では、FIPS 140-2 レベル3認定のHSMデバイスにより、物理的な改ざんからも保護された環境で鍵管理できます。

KMSの実装要素は以下のとおりです。

  • 階層的鍵構造:マスターキーとデータ暗号化キーの階層管理

  • 自動ローテーション:定期的な暗号鍵の自動更新

  • アクセス制御:IAMによる詳細な鍵アクセス権限管理

  • 監査ログ:鍵の使用状況の包括的な記録

一元的な鍵管理機能

一元的な鍵管理により、組織全体に分散した暗号化鍵を一箇所に集約して保管・管理することで、鍵管理の複雑性を大幅に簡素化できます。複数のアプリケーションやサービス間での鍵の共有と管理が効率化され、運用コストの削減にもつながります。鍵の使用状況をリアルタイムで可視化することにより、不要な鍵の特定と安全な削除も容易になります。

定期的な鍵ローテーション機能では、組織のセキュリティポリシーに基づいて自動的にローテーションを実行します。鍵の漏洩リスクを最小化する予防的措置として、長期間同一の鍵が使用されることによるセキュリティ脆弱性を防止します。ローテーション履歴の詳細な保持により、トラブル時の原因調査も効率的に行えます。

一元的鍵管理の構成要素は以下のとおりです。

  • 統合管理コンソール:全社的な鍵管理の一元化

  • ポリシー管理:組織レベルでの鍵管理ポリシー適用

  • 自動検出:管理対象外鍵の自動発見と登録

  • 使用状況分析:鍵の利用パターン分析と最適化

  • コンプライアンス:規制要件に対応した鍵管理

保存データの包括的保護

ストレージサービスの戦略的活用

さくらのクラウドでは、お客様の貴重なデータを安全に保護するための多様なストレージオプションを用意しています。高性能なブロックストレージは低レイテンシを求めるミッションクリティカルなアプリケーションに最適です。大容量のオブジェクトストレージはバックアップデータや静的コンテンツの保存に適しており、アーカイブストレージは長期保存が必要なデータの低コスト保管を実現します。

これらのストレージサービスは、エンタープライズレベルの可用性と耐久性を実現するために、複数の冗長化技術と先進的なセキュリティ機能を組み合わせて設計されています。データは複数のゾーンに分散配置され、ハードウェア障害や自然災害などの不測の事態からも保護されます。

ストレージサービスの特性は以下のとおりです。

  • ブロックストレージ:高IOPS・低レイテンシのデータベース向けストレージ

  • オブジェクトストレージ:大容量データとバックアップの経済的な保存

  • ファイルストレージ:複数インスタンスからの同時アクセス対応

  • アーカイブストレージ:長期保存データの低コスト保管

  • 暗号化対応:全ストレージタイプでの暗号化サポート

ストレージリソースの削除権限制限

万が一の人的ミスによる誤操作や、悪意のある第三者による不正アクセスによってデータが削除されるリスクを最小限に抑えることは、企業の事業継続性にとって極めて重要です。データの消失は、単なる情報の喪失にとどまらず、業務停止、顧客信頼の失墜、法的責任の発生など、組織全体に甚大な影響を与える可能性があります。

サービスの種類によって制限する必要のある権限は、次のようになります。

サービス

制限する必要がある権限

理由と対策

代替手段

監査要件

仮想サーバ

サーバ削除権限、ディスク削除権限、設定変更権限、セキュリティグループ変更権限

本番環境の停止や重要データの消失を防ぐため。承認プロセスを経た管理者のみに付与し、操作ログの記録を必須とします。

段階的権限昇格、承認ワークフロー

全操作ログ、変更承認記録

ディスク・ストレージ

ディスク削除権限、ストレージ編集・削除権限、バックアップ削除権限、暗号化設定変更権限

データの永続性と整合性を保持するため。削除操作には二段階認証と確認プロセスを設け、定期的なバックアップ取得を実施。

スナップショット、複製作成

削除操作ログ、バックアップ状況

オブジェクトストレージ・NFS

オブジェクト削除権限、バケット削除・編集権限、イミュータブル解除権限、パブリックアクセス設定変更権限

意図しないデータ公開や削除を防止するため。バージョニング機能の活用と、ACL変更時のアラート設定を推奨します。

バージョニング、ライフサイクル管理 アクセスログ、設定変更履歴

バックアップ・スナップショット

バックアップ削除・上書き権限、バックアップ復元以外の編集権限、保存期間変更権限、自動バックアップ無効化権限 災害復旧能力を維持するため。複数世代のバックアップ保持と、別リージョンでのレプリケーション実装を検討してください。

自動バックアップ、分散保存

バックアップ削除ログ、復旧テスト記録

これらの権限制限を実施する際は、業務の継続性とセキュリティのバランスを慎重に検討する必要があります。過度に厳格な制限は業務効率を低下させる可能性があるため、組織の規模や業務特性に応じて適切なレベルの制限を設定することが重要です。

権限制限の実装要素は以下のとおりです。

  • 段階的権限:重要度に応じた権限レベルの設定

  • 承認ワークフロー:危険な操作に対する事前承認プロセス

  • 二要素認証:重要な操作での追加認証要求

  • 操作ログ:すべての権限行使の詳細な記録

  • 定期監査:権限使用状況の定期的な確認

オブジェクトストレージのセキュア運用

オブジェクトストレージのセキュリティは、データの機密性と完全性を保持する上で最も重要な要素の一つです。現代のクラウド環境では、データ漏洩やサイバー攻撃のリスクが常に存在するため、多層的なセキュリティ対策を講じることが不可欠です。

現在、さくらのクラウドのオブジェクトストレージでは、オブジェクト保存時の暗号化機能は提供しておりませんが、これは設計上の意図的な選択です。サーバサイドでの自動暗号化ではなく、お客様により柔軟で強力な暗号化オプションを提供するため、クライアントサイドでの暗号化を推奨しています。

クライアントサイド暗号化を実装する際は、AES-256などの強力な暗号化アルゴリズムを使用し、暗号化鍵の管理には十分な注意を払ってください。鍵の保管には、KMS(Key Management Service)やクラウドHSMの利用を検討することで、より安全な鍵管理を実現できます。

オブジェクトストレージセキュアの構成要素は以下のとおりです。

  • クライアントサイド暗号化:データ送信前の暗号化実装

  • アクセス制御:IAMとバケットポリシーによる詳細な権限管理

  • バージョニング:データの意図しない削除・変更からの保護

  • アクセスログ:オブジェクトアクセスの包括的な記録

  • ライフサイクル管理:データの自動的な分類と移動

ブロックストレージのデータ暗号化

業界最高水準の暗号化技術

さくらのクラウドのブロックストレージサービスでは、お客様の重要なデータを包括的に保護するため、業界最高水準の暗号化技術を採用した多層的なセキュリティ対策を提供しています。データ保護は単なる技術的な要件ではなく、ビジネスの信頼性と継続性を支える基盤として位置づけられています。

すべてのブロックストレージとブートボリュームは、保存時においてAES(Advanced Encryption Standard)アルゴリズムと256ビット鍵を用いて強固に暗号化されます。AES-256は、アメリカ国立標準技術研究所(NIST)によって承認された暗号化標準であり、現在最も信頼性が高く、広く採用されている暗号化方式の一つです。

暗号化機能は、パフォーマンスへの影響を最小限に抑えながら高度なセキュリティを提供します。ストレージボリュームの新規作成時にのみ設定できます。暗号化処理は、専用のハードウェアアクセラレータを使用してハードウェアレベルで実行されるため、従来のソフトウェアベースの暗号化と比較して大幅な性能向上を実現しています。

ブロックストレージ暗号化の特徴は以下のとおりです。

  • ハードウェア暗号化:専用チップによる高性能暗号化処理

  • 透過的暗号化:アプリケーションレベルでの変更不要

  • 自動鍵管理:暗号化鍵の自動生成と管理

  • パフォーマンス最適化:暗号化によるオーバーヘッド最小化

  • 監査対応:暗号化状況の可視化と証跡管理

高度な暗号化オプション

お客様のセキュリティ要件がより厳格な場合や、特定のコンプライアンス要件を満たす必要がある場合は、追加の暗号化オプションを利用を検討します。これらのオプションは、エンタープライズレベルのセキュリティを求めるお客様や、金融機関、医療機関、政府機関などの高度なセキュリティ要件を持つ組織に最適です。

カスタマーマネージド暗号化鍵(CMEK)は、最高レベルのセキュリティと独立性を求める場合に提供される機能です。この方式では、お客様自身で管理する暗号鍵を用いて、すべてのボリュームとバックアップを暗号化することが可能です。暗号化鍵の完全な制御権をお客様が保持できるため、クラウドプロバイダーであっても暗号化されたデータにアクセスすることはできません。

転送中の暗号化については、インスタンスとアタッチされたブロックストレージ間のデータ転送がデフォルトでセキュアな内部ネットワークを経由するよう設計されています。しかし、より高いセキュリティレベルを要求される環境では、エンドツーエンドの暗号化を有効にできます。

鍵のローテーションとライフサイクル管理は、長期的なセキュリティ維持において重要な要素です。定期的な暗号化鍵のローテーションにより、長期間同一の鍵が使用されることによるセキュリティリスクを効果的に軽減できます。自動ローテーション機能を活用することで、運用負荷を増やすことなく、継続的なセキュリティの向上を実現できます。

高度な暗号化オプションの構成要素は以下のとおりです。

  • CMEK(Customer Managed Encryption Keys):お客様管理の暗号化鍵

  • BYOK(Bring Your Own Key):既存鍵の持ち込み機能

  • 鍵エスクロー:セキュアな鍵預託システム

  • 鍵ローテーション:自動的な暗号化鍵更新

  • コンプライアンス:各種規制要件への対応