Enforcive Encryption

Enforcive Encryption

製品概要

Power Systems IBM i(DB2)を暗号化し
  • マイナンバー保護
  • クレジットカード情報保護
  • その他個人情報・機密情報保護
を強力に支援します。

対象フィールドへ権限があるユーザー

対象フィールドへ権限がないユーザー

特徴

  • プログラム改修が不要
  • 2つのキーを使用(データキー、マスターキー)
  • レベルで暗号化
  • 7つの暗号化アルゴリズムに対応
    • AES128, 192, 256
    • DES
    • TDES8, 16, 24

システム要件

  • IBM i V7R1以降
  • OS V7R1の場合以下個別PTFの適用
    • (SI50636, SI50865, SI50741, SI50971, MF57368, MF58908)
  • Enforciveをお使いの場合バージョン8以降

暗号化の目的

クレジットカード情報、マイナンバー、顧客情報など機密情報の保護

◆一般的な対応
アクセス権限(オブジェクト権限)を使用
・同じファイルの中に機密レベルの異なるフィールドを保持する場合、対象のフィールドだけ見せないということは難しく、ファイル自体へのアクセスを禁じるしかない
・*ALLOBJの特殊権限保持者には効果がない

オブジェクト権限だけでは対応しきれない
フィールドレベルでの、閲覧の可/不可(暗号化)をする必要がある

万一、情報が盗まれてしまっても
暗号化状態で、実質的な流出を防止

フィールドプロシージャでの暗号化

フィールド・プロシージャー(暗号化の拡張)
◎機能について
  • フィールド単位でトリガーの設定が可能です。
  • 暗号化ロジックと組み合わせることで、フィールド単位での暗号化が可能になる
  • フィールドプロシージャーは暗号化専用の機能ではない
◎利用方法
・CREATE TABLE/ALTER TABLEで宣言する際に、下記の3つの処理を1つのプログラム(フィールド・プロシージャー)に書いておくことが必須です
  1. CREATE TABLE/ALTER TABLEで宣言される際の処理
  2. エンコーディング(暗号化)の処理
  3. デコーティング(複号化)の処理
  • ICE/RPG/COBOL用のインクれーどファイルがQSYSINC/H/SQLFPで提供されています
  • トリガーが作動するタイミングの主なものは下記の通りです
    1. アプリケーション、SQLからのアクセス
    2. ネイティブのレコードレベルのアクセス
    3. SELECT、RUNQRY、DSPPFM、CPYF、バイナリーFTPなど

Enforcive Encryptionでの暗号化

GUIからの設定によりノンプログラミングで対象フィールドの暗号化が可能

効果

  • IBM i 向けに設計(OS V7R1以降)
  • シンプル/使いやすい
  • さまざまなセキュリティ要件に対応(PCI-DSS等)

機能

  • ユーザー単位で復号化指定
  • 2つの権限が選択可能(フルコントロール、閲覧許可/更新不許可)

ジョブ名での制御も可能
たとえば、対話型ジョブでは暗号化状態で表示
バッチジョブ(ジョブ名指定)では通常状態で処理

実際の画面

ダウンロードしても暗号化を保持

暗号化フロー

①マスターキーの作成

②データキーの作成

③暗号化定義の作成

④権限の付与

⑤暗号化開始