質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.06%

WEBサービスにおけるDBの暗号化について

解決済

回答 4

投稿

  • 評価
  • クリップ 4
  • VIEW 4,155

score 33

現在WEBサービスの開発を行っておりまして、ユーザー情報として「氏名、住所、
電話番号、携帯電話番号、Eメールアドレス」などの個人情報を取得しDBに保存します。

個人情報の流出が騒がれる昨今ですが、対策として当サービスでも取得する個人情報を
暗号化するべきか、経験者様のご意見をお聞きしたいと思い質問させて頂きました。

一口にDBの暗号化と言ってもディスク自体の暗号化、テーブルの暗号化、カラムの
暗号化など色々方式はあるかと思いますが、「ウチではこうやってたよ」や
「本当はやらないといけないんだけど手が回ってなくて。。。」など、実際の現場では
どうしているのか?が気になっております。

もちろんSSL通信やSQLインジェクション対策などのWEBサイトとしての対策は
行いますので、DBの暗号化に絞ってご意見を頂けますと幸いです。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+1

参照権限などのアカウント制御も大切ですね。
あとは動的な複合化キーを利用するとかですかね。


投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/09 21:44

    なるほど個人情報を格納するテーブルはアカウント制御を厳格にする必要がありますね。動的な複合キーについては一度勉強してみます。
    早々にご回答頂きありがとうございました。

    キャンセル

checkベストアンサー

0

DB自体の暗号化をしている事はありました。

パスワードなどの不可逆式のハッシュをかけた暗号化部分は別ですが、DBの個別項目の暗号化保存はあまり意味がないように思います。DB自体の参照ができる状況であれば、ソース、または、ビルドされたリソースの参照ができる状況になっていると思われる為、逆コンパイルなどされてソース参照され、復号化部分を読み取られたらアウトです。

暗号化をかけてコンパイルする事は可能ですが、それで問題が発生する事もあり、そこまでやっている所はほとんどないのではないでしょうか?

基本、システム(OS等)の虚弱性に気をつけ、DBやOSのパスワードの定期変更など、アカウントやアクセス管理をしっかりやる事が一番のように思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/10 21:10

    確かにDBのデータにアクセスされる状況であれば既に丸裸も同然ですよね。
    それ以前に当たり前の事を当たり前にやる、という事ですね。
    勉強になりました、ありがとうございました。

    キャンセル

0

最近、同じような悩みに直面しました

システムの完成が優先されたため、本来は最初にやるべきとは思いつつDB暗号化対策は後回しになってしまい、最終的にはシステム完成後に個人情報該当部分のみを暗号化して再格納し、アプリ側に暗号/複合機能を追加しました

これで一応、DBを持ち去られたり、DBサーバに不正侵入されて直接レコードを参照しようとしても内容は判別できないので今のところよしとしています

もっとちゃんとやらないとなぁと思いつつ、なかなか・・・

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/10 10:10

    システムの完成が優先されるのは大変よく分かります。
    Webで情報収集しても「個人情報は暗号化すべき」といったものばかりで、
    実際のところ皆さんがどうしているのかが気になっていました。
    実体験に基づく貴重な情報ありがとうございました。

    キャンセル

0

参考になるか分かりませんが、「データベース暗号化ガイドライン」というのものがあります。
http://www.db-security.org/report/dbsc_cg_ver1.0.pdf

7Pの「脅威と対策のマッピング」は非常に参考になるので一度見ておいても良いと思います。

どういった脅威に対応するためにDBを暗号化するのか。という事をきちんと考えればどのレベルで暗号化すれば良いかがわかってくるはずです。
Webサイトの運用環境や現状実施している対策と掛けあわせて暗号化を検討してみてはいかがでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/16 14:43

    このようなガイドラインがあったのですね。
    早速「脅威と対策のマッピング」を確認しました。
    具体的な脅威が分からないのにやみくもに暗号化しても意味がないというのが
    分かりました。あまりにも無知でお恥ずかしい限りです。
    本資料を一度通読し、運用環境やサイトの特性を踏まえた上で再考したいと思います。
    ご教示頂きありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.06%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る