> そもそもDB内部のデータの暗号化云々より、DBそのもののセキュリティさえしっかりしておけば、 > 特に厳しい案件でもない限りは施す必要はあまりない処理、ということでいいのでしょうか？ そうですね。私の認識ではそうです。 が、少し緩めの感覚だと思ってもらっても良いかもしれません。 ※ 今後その辺の要求は厳しくなっていくでしょう 気をつけるのはどこに脅威があるか、なのだと思います。 - そのサーバにLoginできる他社の人がいる場合、セキュリティホールを突かれてroot権限昇格されて、ファイルシステム毎コピーされるリスクをどう考えるか (ファイルシステムを暗号化しておけば安全?) - DBバックアップしたデータに個人情報が含まれるので、その安全性はどうなのか？ (多くの人が触れる場所にバックアップがあるなら、内部が暗号化されていたほうが安全)(バックアップファイルを厳重に管理しておけば安全??) などなど、、、考えるときりがなく、どこで線を引くかという話になりますね。 多くの場合は - 内部の人は信用する！ (ので、社内エンジニアが簡単にみれちゃうのはOK！) - サーバはCrackされないとする みたいなところで線を引いている気がします。

どこに脅威があるのか、経験や知識が必要そうですね…。 わかりました。DBのプログラム的な勉強以外にも、実現したい機能や環境でどんな脅威があるのかの認識と、あとは+コストや要求などに合わせて線引きですね。 デザイナー寄りが勝手に勉強してることなので、気長に覚えていこうと思います。とても勉強になりました。お二方ともありがとうございます！