Db2 ネイティブ暗号化

Db2 ネイティブ暗号化には、データベース・バックアップ・イメージと鍵データベース・ファイルが外部ストレージ・メディアに保管されている間、それらを不適切なアクセスから保護するための組み込み暗号化機能が用意されています。

重要:

CVE-2023-32342への応答として、KMIP 鍵マネージャーに接続するために、 Db2 KI DT223175 を使用するリリースでは、FIPS 認定の IBM Crypto for C (ICC) が CVE-2023-32342に対して脆弱であるため、デフォルトで RSA 鍵交換を使用する TLS 暗号に対して非 FIPS IBM Crypto for C (ICC) が使用されます。

FIPS 140 認定の暗号モジュールのみを使用する必要があるお客様は、厳密 FIPS モードを有効にする必要があります。厳密 FIPS モードでは、KI DT223175 が指定された Db2 リリースでは、 CVE-2023-32342に対して脆弱なすべての TLS 暗号およびバージョンが無効になります。

紀 DT223175: を含む Db2 リリースで厳密モードが有効になっている場合、KMIP 鍵マネージャーへの接続には以下の制約事項が適用されます。

RSA 鍵交換 (TLS_RSA_ *) を使用する TLS 1.2 暗号は無効になります。サポートされるすべての ECDHE 暗号が有効になります。 RSA 証明書を使用するインスタンスの場合、 Db2 は自動的に TLS 1.2 用の TLS_ECDHE_RSA 暗号を優先し、証明書の変更は必要ありません。
TLS 1.3 は CVE-2023-32342 の影響を受けません。

厳密 FIPS モードを有効にするには、 DB2AUTH レジストリー変数を STRICT_FIPS に設定します。 DB2AUTH 変数が既に設定されている場合は、複数のオプションをコンマで区切ることができます。厳密な FIPS モードについて詳しくは、業界標準を参照してください。

暗号化は、オフライン・データの保護における主要な構成要素です。多くの政府規定および業界標準で暗号化の使用が求められています。

Db2 ネイティブ暗号化機能:

単純なデプロイメント
データ・スキーマやデータベース・アプリケーションに対する変更が必要ない
サポートされているすべての Db2 プラットフォームおよび構成で無料で使用できます。

Db2 で使用される暗号化機能は、FIPS 140-2 認定を受けており、NIST SP 800-131A 準拠の暗号アルゴリズムを採用しています。また、 Db2 は、基礎となる CPU ハードウェア・アクセラレーションが使用可能であれば、それを自動的に検出して暗号化に使用します。

データベースを暗号化すると、 Db2 ネイティブ暗号化により、以下のようなデータを含むすべてのファイルが保護されます。

すべての表スペース (システム定義とユーザー定義の両方)
表スペース内のすべてのタイプのデータ (LOB データ・タイプおよび XML データ・タイプを含む)
すべてのトランザクション・ログ (アーカイブされたログ・ファイルを含む)
LOAD COPY データ
LOAD ステージング・ファイル

Db2 ネイティブ暗号化を使用して、ソース・データベースが暗号化されていない場合でも、データベース・バックアップを暗号化することもできます。