オープンソース活用研究所 | 透過的DB暗号化で個人情報管理システムでの採用事例

透過的DB暗号化で個人情報管理システムでの採用事例

オープンソース活用研究所

2016年07月11日
オープンソース活用研究所 所長 寺田雄一

2016年3月17日、TIS株式会社にて、「商用DBからの移行先としてPostgreSQLはどこまで使えるのか?~DBのセキュリティと暗号化~」セミナーが開催されました。

第三回目は、SRA OSS, Inc.日本支社マーケティング部部長 稲葉 香理氏によるセッション「透過的DB暗号化で、個人情報管理システムでの採用事例」のダイジェストをご紹介いたします。

※本稿は、同講演の内容をベースにTIS株式会社 OSS推進室 倉持健史監修のもと、オープンソース活用研究所所長 寺田雄一が執筆しました。

PostgreSQL開発のリーディングカンパニー、SRA OSS, Inc.

リンク-sra oss

2005年に設立されたSRA OSS, Inc.は、PostgreSQLを中心にオープンソース製品の開発、販売、サポートを行っています。同日本支社長の石井 達夫氏は、国内におけるPostgreSQLの開発者の第一人者として、取締役である現在でもPostgreSQLや周辺プログラムを開発しています。

TISとはZabbix用のPostgreSQLテンプレート「pg_monz」を共同で開発しています。

PostgreSQL をベースに信頼性とセキュリティに特化した「PowerGres Plus」。

リンク-powergres plus

「PowerGres Plus」はオープンソースDBとして実績のあるPostgreSQL をベースした「PowerGres」シリーズの一製品です。「PowerGres」は、PostgreSQLを最適なオプションでコンパイルしたバイナリに、 インストーラ、データベース管理ツールを付属し、よりPostgreSQLを使いやすくしています。「PowerGres」ファミリーは、2003年に開発・販売を開始以来10年以上の歴史があり、累計1万本以上の出荷実績があります。

「PowerGres Plus」は、セキュリティ面と信頼性において、PostgreSQL にはない機能が実装されています。(詳しくは後述します)更に、PostgreSQL の有償サポートサービスと比較しても低価格という点からも、注目が集まっています。

また「PowerGres Plus」は、サポートも充実しています。

PostgreSQLのコミュニティのサポート期間がリリースから5年間であるのに対して、「PowerGres」のサポートは販売開始から7年間です。追加費用を支払うことで延長サポートも受けられるため、ユーザーのなかには実質的には10年サポートを受けているユーザーもいます。とくに「PowerGres Plus」では24時間365日サポートも提供しています。

PowerGres Plus独自機能:透過的データ暗号化(TDE)

TDEの実装により、データベースの暗号化が可能になります。データベースに格納するデータをはじめ、バックアップデータやトランザクションログまで暗号化が可能です。データは自動的に暗号化、復号化されるため、アプリケーションが暗号化を意識する必要はありません。データベースに格納されるデータはファイル単位で暗号化され、AES の128/256ビットの暗号化アルゴリズムに対応して、高いセキュリティを誇っています。また、データベースエンジン内の実装であることから、暗号化のオーバーヘッドが限りなく極小化されており、暗号化をしなかった場合に比べて、オンライントランザクション処理で 3% 未満のオーバーヘッドとなっています。TDE は、他の代表的な商用データベース製品では、ハイエンド製品のオプションという位置づけになっていることから、「暗号化」という要件では、これまでに高価な製品しか選択できませんでした。「PowerGres Plus」では、リーズナブルな価格でありながら、充実のTDEが実装されており、この機能が決め手となり、「PowerGress Plus」を採用した企業も少なくありません。

すでにPostgreSQLを導入しており新たに暗号化の機能のみを導入したいといったケースでも、対応が可能です。従来のPostgreSQLのデータをバックアップし、「PowerGres Plus」にリストアし、暗号化実行コマンドを打つだけで暗号化が実現します。

「PowerGres Plus」の透過的データ暗号化はアプリケーションの改修も必要ないので、既存で動いているPostgreSQLでも導入がしやすくなっているのです。

PowerGres Plus独自機能:トランザクションログの二重化

信頼性を高める機能は、WALログ(トランザクションログ)の二重化です。トランザクションログを二重化することで、ディスク破損によるデータ損失を防ぎ、GUI 管理ツールから容易に最新状態まで復旧させます。 また、データファイルの破損を検査して破損がほかの部分に広がることを未然に防ぐことができます。

性能とコスパが決め手となった「PowerGres Plus」導入事例。

最後に、導入事例をご紹介します。

カシオヒューマンシステムズの人事統合システム ADPSシリーズの一製品に「PowerGres Plus」が採用された事例です。

カシオヒューマンシステムズは、顧客の個人情報を安全に管理するために暗号化の必要性に迫られており、いくつかの暗号化ツールを検討するなかで、最終的に「PowerGres Plus」(バージョン9.1/Windows版)を選択しました。採択の理由は、暗号化機能、検索スピードなどの性能に加えて、そのコストパフォーマンスでした。

この「PowerGres Plus」導入事例の詳細は、SRA OSS, Inc. WEBサイトにて公開されています。
http://powergres.sraoss.co.jp/s/ja/example/casio_human_systems.php

まとめ

  • ・「PowerGres Plus」は、PostgreSQL をベースに、運用のしやすさに特化したパッケージ製品。
  • ・「PowerGres Plus」には、透過的データ暗号化という独自機能がある。
  • ・「PowerGres Plus」には、トランザクションログの二重化という独自機能がある。
  • ・「PowerGres Plus」は、PostgreSQL の有償サポートサービスと比較しても低価格。

OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

関連オープンソース

SQLite(エスキューライト)

  • データベース

SQLite(エスキューライト)とは、軽量コンパクトなリレーショナルデータベースシステムです。主に組み込み用途や、小規模システムのデータストアとして利用されます。

Apache Hbase(アパッチ エイチベース)

  • データベース

Apache Hbase(アパッチ エイチベース)とは、大規模分散データベース管理システムです。「Hadoopベース」「NoSQL」「スケーラブル」などの特徴があります。

Apache Cassandra(アパッチ カサンドラ)

  • データベース

Apache Cassandra(アパッチ カサンドラ)とは、オープンソースの分散データベース管理システムです。構造化キーバリュー型データストアを提供します。「単一障害点を持たない」「スケーラブル」「高速性」などの特徴があります。

WSO2 Enterprise Service Bus(ダブルエスオーツー エンタープライズ サービス バス)

  • SOA

WSO2 Enterprise Service Bus(ダブルエスオーツー エンタープライズ サービス バス)とは、アプリケーション統合/連携用ソリューションです。異なるアプリケーション間の通信を包括的にサポートします。

Apache Traffic Server(アパッチ トラフィック サーバ)

  • プロキシサーバ

Apache Traffic Server(アパッチ トラフィック サーバ)とは、高性能HTTPキャッシュプロキシサーバです。静的Webコンテンツをキャッシュすることで、ネットワーク効率化とパフォーマンス改善を行います。

Apache CouchDB(アパッチカウチデービー)

  • データベース

Apache CouchDB(アパッチカウチデービー)。ドキュメント指向データベースです。「RESTful HTTP/JSON API」「スキーマレス(NoSQL)」「分散型」「スケーラブル」「耐障害性」などの特徴があります。

PowerDNS(パワーディーエヌエス)

  • DNS

PowerDNS(パワーディーエヌエス)。オープンソースのDNSサーバです。RDBMSなどの豊富なバックエンドを利用でき、管理サポート機能が豊富に用意されています。

memcached(メムキャッシュディー)

  • クラスタリング

memcached(メムキャッシュディー)。高性能分散メモリキャッシュサーバです。既存システムに導入してシステムレスポンスの高速化を図れます。

Redis(レディス)

  • データベース

Redis(レディス)。インメモリベースのキーバリューモデル型NoSQLデータベースです。非常に高速な読み書き/アクセスが可能で、データ永続化機能も備えています。

Apache Mesos(アパッチメソス)

  • クラスタリング

Apache Mesos(アパッチメソス)。クラスタリソースマネージャです。分散アプリケーション/分散フレームワークを複数のノード上で稼働させ、効率的なリソース分離/共有機能を提供します。

WildFly(ワイルドフライ)

  • APサーバ

WildFly(ワイルドフライ)。オープンソースJavaEEアプリケーションサーバです。JBossコミュニティで開発されています。「JBoss Application Server」から「WildFly」に改名されました。

MySQL MHA(マイエスキューエルエムエイチエー)

  • クラスタリング

MySQL MHA(マイエスキューエル エムエイチエー)。MySQLマスタ障害発生時に、MySQLマスタの自動フェイルオーバーを行い高可用性を実現するオープンソースツールです。

MariaDB MaxScale(マリアディービーマックススケール)

  • プロキシサーバ

MariaDB MaxScale(マリアディービーマックススケール)。オープンソースのデータベース向けプロキシソフトウェアです。「MariaDB」「MySQL」の性能向上に対して大きな効果を発揮します。アプリケーションとデータベースの分離を実現して、データベース管理プロセス作業を簡素化できます。

Neo4j(ネオフォージェイ)

  • データベース

Neo4j(ネオフォージェイ)。オープンソースNoSQL型グラフデータベースです。いくつかの基本的なデータ構造を理解し、SQLライク言語(Cypher)を覚えれば、グラフ理論に基づいたデータ処理機能を利用できます。

Node.js(ノードジェイエス)

  • APサーバ

Node.js(ノードジェイエス)。サーバサイドJavaScriptアプリケーションプラットフォームです。軽量高性能で、1万同時アクセス(C10K)問題に対応できる性能を持ち、JavaScriptでサーバサイド機能を実装できる点が特徴です。

GridDB(グリッドデービー)

  • データベース

GridDB(グリッドデービー)。ビッグデータ向けNoSQL型インメモリデータベースです。ミッションクリティカルなビッグデータアプリケーションに、スピードとスケールを提供します。

MariaDB(マリアディービー)

  • データベース

MariaDB(マリアディービー)。「MySQL」から派生したオープンソースリレーショナルデータベースシステムです。拡張性/処理性能/高品質が評価され、世界中で急速にシェアを拡大しており、Googleや数多くのLinuxディストリビューションでも、「MySQL」に代わって「MariaDB」が採用されています。

Corosync(コロシンク)

  • クラスタリング

Corosync(コロシンク)。高可用性クラスタ構成の中でクラスタ通信層制御を担当するオープンソースクラスタ基盤ソフトです。「Heartbeat」の後継として、クラスタ通信フレームワークを提供し、クラスタ構成サーバ間でノードの死活監視を行います。

Messasy(メザシ)

  • メールサーバ

Messasy(メザシ)。メールを保存しておくためのメールアーカイブソフトです。メールサーバを通過するすべてのメールを、規定のメールボックスとは別の領域に保存できます。

ILUKA(イルカ)

  • クラスタリング

ILUKA(イルカ)。Linux向け負荷分散機能「LVS(Linux Virtual Server)」と連携動作する「keepalived」の管理用ツールです。WebGUIを使って設定/管理を行えます。

SaMMA(サンマ)

  • メールサーバ

SaMMA(サンマ)。メール添付ファイルを自動的に安全化するソフトウェアです。「添付ファイル自動暗号化機能」と「添付ファイル自動削除機能」により、メールセキュリティを強化し、標的型メール対策が可能です。

Sympa(サンパ)

  • メールサーバ

Sympa (サンパ。SYstème de Multi-Postage Automatique) はメーリングリスト管理システムです。

Asterisk(アスタリスク)

  • IP-PBX

Asterisk(アスタリスク)は、オープンソースのIP-PBXソフトウェアです。

pgpool-II(ピージープールツー)

  • クラスタリング

pgpool-II(ピージープールツー)は、オープンソースのRDBMSであるPostgreSQLについて、冗長化(クラスター構成)や負荷分散を可能にするためのミドルウェアです。

postLDAPadmin(ポストエルダップアドミン)

  • メールサーバ

postLDAPadmin(ぽすとえるだっぷあどみん)は、メールサーバのアカウント情報を管理するためのウェブアプリケーションです。

Vyatta(ヴィアッタ)

  • ネットワーク系ツール

Vyatta(ヴィアッタ)。既製のx86サーバにインストールするだけでルータとして利用できる、高機能、高性能なオープンソースのソフトウェアルータ

Pacemaker(ペースメーカー)

  • クラスタリング

Pacemaker(ペースメーカー)。最も利用実績の多い「Heartbeat」後継のHAクラスタリング製品です。

Heartbeat(ハートビート)

  • クラスタリング

Heartbeat(ハートビート)。システム障害を検出した場合にバックアップシステムに切り替えて、サービスを継続させるためのシステムノード状態監視ミドルウェアです。

DRBD(ディーアールビーディー)

  • クラスタリング

DRBD(ディーアールビーディー)。Linuxプラットフォームにおいて、ネットワークを通じて、ハードディスクなどのストレージデバイスをリアルタイムに複製同期するエンタープライズ向けストレージソリューションです。

Dovecot(ダブコット)

  • メールサーバ

Dovecot(ダヴコット)。UNIX系やLinux系OS上で動作し、セキュアなシステムを意識した設計方針で開発されている、POP3とIMAPをサポートするメールサーバです。

Courier-IMAP(クーリエアイマップ)

  • メールサーバ

Courier-IMAP(クーリエアイマップ)。オープンソースのIMAPメールサーバソフトウェアです。

sendmail(センドメール)

  • メールサーバ

sendmail(センドメール)。UNIXで古くから使われてきたオープンソースのメールを送受信するためのサーバ用ソフトウェアです。メールサーバ用ソフトウェアの実質的標準の地位を占めています。

Postfix(ポストフィックス)

  • メールサーバ

Postfix(ポストフィックス)。フリーソフトウェア・オープンソースソフトウェアのメール転送エージェント

Samba(サンバ)

  • ドキュメント管理

Samba(サンバ)。UNIX系/Linux系コンピュータを、Windows互換のファイルサーバ/プリントサーバ/ドメインコントローラーとして使用するためのオープンソースソフトウェアです。

BIND(バインド)

  • DNS

BIND(バインド)は、世界で最も多く利用されているDNSサーバです。

Apache Axis(アパッチ アクシス)

  • SOAP

Apache Axis(アパッチ アクシス)。JavaとXML技術に基づいたWebサービスのフレームワーク

Apache Tomcat(アパッチトムキャット)

  • APサーバ

Apache Tomcat(アパッチトムキャット)。JavaサーブレットやJSP(JavaServer Pages)を処理するWebコンテナアプリケーションサーバ。

GlassFish(グラスフィッシュ)

  • APサーバ

GlassFish(グラスフィッシュ)。オープンソースのアプリケーションサーバ。サンによるJ2EE準拠のアプリケーションサーバ実装プロジェクトの名称

Apache Geronimo/WAS CE(アパッチ ジェロニモ/ワズ シーイー)

  • APサーバ

Apache Geronimo/WAS CE(アパッチ ジェロニモ/ワズ シーイー)。Apache Foundationが開発したJ2EEサーバ。

Squid(スクイッド)

  • プロキシサーバ

Squid(スクイッド)。インターネットなどのTCP/IPネットワークにおけるクライアント/サーバ間通信を中継するオープンソースハイパフォーマンスプロキシサーバソフトです。リバースプロキシやキャッシュサーバとしても利用できます。長い開発期間によって完成度/信頼度が高く、階層化キャッシュなどのWebアクセスを効率化するための機能が充実しています。

Nginx(エンジンエックス)

  • Webサーバ

Nginx(エンジンエックス)。処理性能・並行処理・メモリ使用量削減にフォーカスして開発され、高い処理能力などの理由により大規模サイトを中心に急速にシェアを拡大している、軽快なオープンソースWebサーバ/リバースプロキシです。

Apache HTTP Server(アパッチエイチティーティーサーバ)

  • Webサーバ

Apache HTTP Server(アパッチエイチティーティーサーバ)。世界中で高い人気を誇るWebサーバソフトウェア。

JBoss(ジェイボス)

  • APサーバ

JBoss(ジェイボス)。J2EE準拠アプリケーションサーバを中心としたWebアプリケーション開発フレームワークです。

PostgreSQL(ポストグレエスキューエル)

  • データベース

PostgreSQL(ポストグレエスキューエル)。商用製品と同等の機能/性能を誇る、オープンソースのオブジェクトリレーショナルデータベース管理システム(ORDBMS)です。

MySQL Cluster(マイエスキューエルクラスター)

  • データベース

MySQL Cluster(マイエスキューエルクラスター)。MySQL Serverのストレージエンジンの1つ。負荷分散型・高可用性という特徴を持つリアルタイムデータベース

MongoDB(モンゴデービー)

  • データベース

MongoDB(モンゴデービー)。データを非定型のデータ構造の集合体としてJSON形式のデータで蓄える、NoSQL型ドキュメント指向データベース管理システムです。

MySQL(マイエスキューエル)

  • データベース

MySQL(マイエスキューエル)。高速性と堅牢性を追及したマルチユーザ・マルチスレッドのオープンソースリレーショナルデータベース管理システム(RDBMS)です。世界中で最もよく利用されており、Oracle社が開発を行っています。

バックナンバー

関連記事

7

  • オープソース書籍(サイド)

OSS×Cloud ACCESS RANKING

facebook

twitter