SQL Server とデータベースの暗号化キー (データベースエンジン)

[アーティクル]
06/13/2017

SQL Serverでは、暗号化キーを使用して、サーバーデータベースに格納されているデータ、資格情報、接続情報をセキュリティで保護します。 SQL Serverには、対称キーと非対称キーの 2 種類があります。対称キーでは、データの暗号化と暗号化解除に同じパスワードが使用されます。非対称キーでは、データを暗号化するパスワード ( 公開キー) とデータの暗号化を解除するパスワード ( 秘密キー) が使い分けられます。

SQL Serverでは、暗号化キーには、機密データを保護するために使用されるパブリック、プライベート、および対称キーの組み合わせが含まれます。対称キーは、SQL Server インスタンスを初めて起動するときに、SQL Server初期化中に作成されます。キーは、SQL Serverに格納されている機密データを暗号化するために、SQL Serverによって使用されます。公開キーと秘密キーはオペレーティングシステムによって作成され、これらのキーを使用して対称キーが保護されます。データベースに機密データを格納するSQL Serverインスタンスごとに、公開キーと秘密キーのペアが作成されます。

SQL Server およびデータベースキーの用途

SQL Serverには、SQL Server インスタンスで生成されたサービスマスターキー (SMK) と、データベースに使用されるデータベースマスターキー (DMK) の 2 つの主なアプリケーションがあります。

SMK は、SQL Server インスタンスが初めて起動されるときに自動的に生成され、リンクサーバーのパスワード、資格情報、およびデータベースマスターキーの暗号化に使用されます。 SMK は、Windows データ保護 API (DPAPI) を使用するローカルコンピューターキーを使用して暗号化されます。 DPAPI は、SQL Server サービスアカウントの Windows 資格情報とコンピューターの資格情報から派生したキーを使用します。サービスマスターキーの暗号化を解除できるのは、作成元のサービスアカウント、またはコンピューターの資格情報にアクセスできるプリンシパルに限られています。

データベースマスターキーは対称キーで、証明書の秘密キーやデータベース内にある非対称キーを保護するときに使用されます。このキーはデータの暗号化にも使用できますが、長さに制限があるため、対称キーに比べるとデータに対する実用性は低くなります。

このマスターキーは、その作成時に、トリプル DES アルゴリズムとユーザー指定のパスワードを使用して暗号化されます。マスターキーの暗号化を自動的に解除できるように、SMK を使用してこのキーのコピーが暗号化されます。暗号化されたコピーは、使用先のデータベースおよび master システムデータベースの両方に格納されます。

master システムデータベースに格納された DMK のコピーは、DMK が変更されるたびに自動的に更新されます。ただし、この既定の動作は DROP ENCRYPTION BY SERVICE MASTER KEY ステートメントの ALTER MASTER KEY オプションを使用して変更できます。サービスマスターキーで暗号化されていない DMK を開くには、OPEN MASTER KEY ステートメントとパスワードを使用する必要があります。

SQL Server およびデータベースのキーの管理

暗号化キーの管理は、新しいデータベースキーの作成、サーバーおよびデータベースのキーのバックアップ作成、およびキーの復元、削除、変更のタイミングと方法を把握することによって行われます。

対称キーを管理するには、SQL Serverに含まれているツールを使用して、次の操作を行います。

サーバーを復旧させるため、または計画的な移行の一環として使用できるように、サーバーおよびデータベースのキーのコピーをバックアップします。
以前に保存したキーをデータベースに復元します。これにより、新しいサーバーインスタンスは、そのインスタンスで暗号化していない既存のデータにアクセスできるようになります。
暗号化されたデータにアクセスできなくなった場合は、データベース内の暗号化されたデータを削除します。
キーに障害が起きた場合は、そのキーを再作成し、データを再暗号化します。セキュリティを高めるには、キーを定期的 (たとえば数か月ごと) に再作成して、キーを解読しようとする攻撃からサーバーを保護する必要があります。
複数のサーバーが 1 つのデータベースとそのデータベースの暗号化を解除するキーの両方を共有する場合は、サーバースケールアウト配置に対してサーバーインスタンスを追加または削除します。

重要なセキュリティ情報

サービスマスターキーによってセキュリティ保護されたオブジェクトにアクセスするには、キーの作成に使用されたSQL Server サービスアカウントまたはコンピューター (コンピューター) アカウントのいずれかが必要です。つまり、コンピューターはキーが作成されたシステムに関連付けられています。キーへのアクセスを失うことなく、SQL Server サービスアカウントまたはコンピューターアカウントを変更できます。ただし、両方を変更するとサービスマスターキーにはアクセスできなくなります。この 2 つのアカウントが一方しかない状態でサービスマスターキーにアクセスできなくなると、元のキーで暗号化されたデータとオブジェクトは暗号化解除できなくなります。

サービスマスターキーで保護されている接続は、サービスマスターキーがないと復元できません。

データベースマスターキーで保護されたオブジェクトとデータにアクセスする場合は、そのキーを保護する際に使用されたパスワードのみが必要です。

注意事項

上記のキーすべてにアクセスできなくなると、それらのキーで保護されているオブジェクト、接続、およびデータにもアクセスできなくなります。ここで示したリンクの説明に従ってサービスマスターキーを復元するか、または元の暗号化システムに戻ってアクセスを復旧します。アクセスを復旧するための "抜け道" はありません。