Db2 ネイティブ暗号化
Db2 ネイティブ暗号化には、データベース・バックアップ・イメージと鍵データベース・ファイルが外部ストレージ・メディアに保管されている間、それらを不適切なアクセスから保護するための組み込み暗号化機能が用意されています。
重要:
CVE-2023-32342への応答として、KMIP 鍵マネージャーに接続するために、 Db2 KI DT223175 を使用するリリースでは、FIPS 認定の IBM Crypto for C (ICC) が CVE-2023-32342に対して脆弱であるため、デフォルトで RSA 鍵交換を使用する TLS 暗号に対して非 FIPS IBM Crypto for C (ICC) が使用されます。
FIPS 140 認定の暗号モジュールのみを使用する必要があるお客様は、厳密 FIPS モードを有効にする必要があります。 厳密 FIPS モードでは、KI DT223175 が指定された Db2 リリースでは、 CVE-2023-32342に対して脆弱なすべての TLS 暗号およびバージョンが無効になります。
紀 DT223175: を含む Db2 リリースで厳密モードが有効になっている場合、KMIP 鍵マネージャーへの接続には以下の制約事項が適用されます。
- RSA 鍵交換 (TLS_RSA_ *) を使用する TLS 1.2 暗号は無効になります。 サポートされるすべての ECDHE 暗号が有効になります。 RSA 証明書を使用するインスタンスの場合、 Db2 は自動的に TLS 1.2 用の TLS_ECDHE_RSA 暗号を優先し、証明書の変更は必要ありません。
- TLS 1.3 は CVE-2023-32342 の影響を受けません。
暗号化は、オフライン・データの保護における主要な構成要素です。 多くの政府規定および業界標準で暗号化の使用が求められています。
Db2 ネイティブ暗号化機能:
- 単純なデプロイメント
- データ・スキーマやデータベース・アプリケーションに対する変更が必要ない
- サポートされているすべての Db2 プラットフォームおよび構成で無料で使用できます。
データベースを暗号化すると、 Db2 ネイティブ暗号化により、以下のようなデータを含むすべてのファイルが保護されます。
- すべての表スペース (システム定義とユーザー定義の両方)
- 表スペース内のすべてのタイプのデータ (LOB データ・タイプおよび XML データ・タイプを含む)
- すべてのトランザクション・ログ (アーカイブされたログ・ファイルを含む)
- LOAD COPY データ
- LOAD ステージング・ファイル