SQL Server とデータベースの暗号化キー (データベースエンジン)

[アーティクル]
10/05/2023

適用対象:SQL Server

SQL Server では、暗号化キーを使用して、サーバーのデータベースに格納されているデータ、資格情報、接続情報がセキュリティ保護されます。 SQL Server には、対称と非対称の 2 種類のキーがあります。対称キーでは、データの暗号化と暗号化解除に同じパスワードが使用されます。非対称キーでは、データを暗号化するパスワード ( 公開キー) とデータの暗号化を解除するパスワード ( 秘密キー) が使い分けられます。

SQL Server の暗号化キーでは、公開キー、秘密キー、対称キーを組み合わせて機密データの保護に使用します。対称キーは、SQL Server インスタンスを最初に起動するときの SQL Server 初期化時に作成されます。 SQL Server は、このキーを使用して SQL Server に格納されている機密データを暗号化します。公開キーと秘密キーはオペレーティングシステムによって作成され、これらのキーを使用して対称キーが保護されます。公開キーと秘密キーのペアは、データベースに機密データを格納する SQL Server インスタンスごとに作成されます。

SQL Server およびデータベースキーの用途

SQL Server では、キーに 2 つの主要な用途があります。1 つは SQL Server インスタンス上で生成され、使用されるサービスマスターキー (SMK)、もう 1 つはデータベースに使用されるデータベースマスターキー (DMK) です。

サービスマスターキー

サービスマスターキーは、SQL Server 暗号化階層のルートになります。 SMK は、SQL Server インスタンスの初回起動時に自動的に生成され、それぞれのデータベースにおいて、リンクサーバーのパスワード、資格情報、およびデータベースマスターキーの暗号化に使用されます。 SMK は、Windows データ保護 API (DPAPI) を使用するローカルコンピューターキーを使用して暗号化されます。 DPAPI では、 SQL Server サービスアカウントの Windows 資格情報およびコンピューターの資格情報から派生するキーが使用されます。サービスマスターキーの暗号化を解除できるのは、作成元のサービスアカウント、またはコンピューターの資格情報にアクセスできるプリンシパルに限られています。

サービスマスターキーを作成した Windows サービスアカウント、またはサービスアカウント名とサービスアカウントのパスワードの両方にアクセスできるプリンシパルだけが、サービスマスターキーを開くことができます。

SQL Server は AES 暗号化アルゴリズムを使用してサービスマスターキー (SMK) とデータベースマスターキー (DMK) を保護します。 AES は、以前のバージョンで使用されていた 3DES よりも新しい暗号化アルゴリズムです。データベースエンジンのインスタンスを SQL Server にアップグレードした後には、マスターキーを AES にアップグレードするために SMK と DMK を再生成する必要があります。 SMK の再生成の詳細については、「ALTER SERVICE MASTER KEY (Transact-SQL)」および「ALTER MASTER KEY (Transact-SQL)」を参照してください。

データベースマスターキー

データベースマスターキーは対称キーで、証明書の秘密キーやデータベース内にある非対称キーを保護するときに使用されます。このキーはデータの暗号化にも使用できますが、長さに制限があるため、対称キーに比べるとデータに対する実用性は低くなります。データベースマスターキーの暗号化を自動的に解除できるように、SMK を使用してこのキーのコピーが暗号化されます。暗号化されたコピーは、使用先のデータベースおよび マスター システムデータベースの両方に格納されます。

マスター システムデータベースに格納された DMK のコピーは、DMK が変更されるたびに自動的に更新されます。ただし、この既定の設定は、 ALTER MASTER KEY ステートメントの DROP ENCRYPTION BY SERVICE MASTER KEY オプションを使用して変更できます。サービスマスターキーによって暗号化されていない DMK は、 OPEN MASTER KEY ステートメントとパスワードを使用して開かれている必要があります。

SQL Server およびデータベースのキーの管理

暗号化キーの管理は、新しいデータベースキーの作成、サーバーおよびデータベースのキーのバックアップ作成、およびキーの復元、削除、変更のタイミングと方法を把握することによって行われます。

対称キーを管理するには、SQL Server 付属のツールを使用して以下の作業を行います。

サーバーを復旧させるため、または計画的な移行の一環として使用できるように、サーバーおよびデータベースのキーのコピーをバックアップします。
以前に保存したキーをデータベースに復元します。これにより、新しいサーバーインスタンスは、そのインスタンスで暗号化していない既存のデータにアクセスできるようになります。
暗号化されたデータにアクセスできなくなった場合は、データベース内の暗号化されたデータを削除します。
キーに障害が起きた場合は、そのキーを再作成し、データを再暗号化します。セキュリティを高めるには、キーを定期的 (たとえば数か月ごと) に再作成して、キーを解読しようとする攻撃からサーバーを保護する必要があります。
複数のサーバーが 1 つのデータベースとそのデータベースの暗号化を解除するキーの両方を共有する場合は、サーバースケールアウト配置に対してサーバーインスタンスを追加または削除します。

重要なセキュリティ情報

サービスマスターキーで保護されているオブジェクトにアクセスするには、そのキーの作成に使用されたSQL Server サービスアカウント、またはコンピューターアカウントのいずれかが必要です。つまり、キーが作成されたシステムに関連付けられているコンピューターアカウントです。 SQL Server サービスアカウント または コンピューターアカウントを変更しても、キーにアクセスできなくなることはありません。ただし、両方を変更するとサービスマスターキーにはアクセスできなくなります。この 2 つのアカウントが一方しかない状態でサービスマスターキーにアクセスできなくなると、元のキーで暗号化されたデータとオブジェクトは暗号化解除できなくなります。

サービスマスターキーで保護されている接続は、サービスマスターキーがないと復元できません。

データベースマスターキーで保護されたオブジェクトとデータにアクセスする場合は、そのキーを保護する際に使用されたパスワードのみが必要です。

注意

上記のキーすべてにアクセスできなくなると、それらのキーで保護されているオブジェクト、接続、およびデータにもアクセスできなくなります。ここで示したリンクの説明に従ってサービスマスターキーを復元するか、または元の暗号化システムに戻ってアクセスを復旧します。アクセスを復旧するための "抜け道" はありません。