-
データに対するセキュリティ対象は、内・外部の全てを対象にします。特に開発する場合、実データを開発業者に提供しなければならないので、この時に最もセキュリティが脆弱な状態になります。 したがって開発者にデータが提供される直前までにキューブワン(CubeOne)で暗号化を完了させておくべきです。開発者には接近権限を与えないで、SELECT時に特定メッセージ (たとえば“Encrypted Data”)を出力させます。
-
CubeOne v2.5では機能が強化されて、このような試みに対しても遮断することができます。
-
キューブワン(CubeOne)は、TOAD、Orange、SQL*Plusなどの商用アプリケーションの実行ファイル名を変えて遮断機能を回避しようとする試みに対しても、遮断(復号化しないで定められたメッセージ出力)が行われます。
-
大きく許可機能と遮断機能の二つがあり、データベース利用者別、IPアドレス別、アプリケーション名別、時間帯別、期間別、曜日別の条件を組み合わせて制御することができます。
-
キューブワン(CubeOne)の場合、基本的にアプリケーションの変更は必要ありません。 しかし、特殊な場合、オラクル(Oracle)の特性に起因した問題として索引ができないことがあります。これについてはマニュアルに詳しく説明されていますので、あらかじめご参照ください。
-
顧客情報データベース(口座番号、パスワード、氏名、住所、電話番号など)、
-
データ形式別には、CHAR、VARCHAR2、INT、FLOAT、NUMBER、DATE、LONG、LOBなどが可能であり、空きデータも暗号化できます。特に、LOB形式の暗号化ができるので、スキャン文書、図面、動画、技術資料などの暗号化が可能です。
-
ソフトウェア製品の場合、鍵は不法接近が不可能でなければなりません。また、モジュール終了時に鍵がゼロ化されなければなりません。
-
パスワードは復号ができないように一方向性の暗号アルゴリズムを使って暗号化するように規定されています。
12