Guardium Data Encryption（GDE）は、複数の環境にわたって保管されているデータを暗号化して、組織全体でのデータ保護を支援する、暗号化/トークン化/鍵管理ソリューションのスイートです。一元化された鍵とポリシーの管理機能を提供し、プライバシー規則の準拠に対処します。

Guardium Data Encryptionは、お客様のデータ保護ニーズに応じて個別にあるいは組み合わせてデプロイできる9個のソリューションで構成されています。これらのソリューションは、GDEのData Security Managerによって集中管理されます。 ソリューションの詳細は、GDEのデータ・シートでご覧いただけます。

Guardium Data Encryptionには、ビッグデータ・システム、Infrastructure-as-a-Service（IaaS）、コンテナ・システムなどに保存されている、構造化データベース、非構造化ファイル、オンプレミスやハイブリッド・マルチクラウド環境からアクセス可能なクラウド・ストレージを保護する暗号化機能が組み込まれています。

Guardium Data Encryptionでは、フォーマット保持トークン化を使用してデータベースの機密フィールドを保護し、データ・マスキングによってデータ・フィールド内の特定の項目を保護できます。

Guardium Data Encryptionにより、ユーザーはKMIP対応のデータ・リポジトリーやデータベースのすべての暗号鍵のライフサイクル、ローテーション、ストレージを集中管理できるようになります。さらに、GDEを使用することにより、パブリッククラウド上に保管されている暗号化データの鍵を所有して制御できます。

Guardium Data Encryptionを使用してデータを保護する方法については、専門家にお問い合わせください。

GDEに含まれる各製品の料金は異なります。IBMのフラグシップ製品、Guardium for File and Database Encryptionの場合、その料金は、ソリューション・エージェントがインストールされているサーバーの数に基づいて設定されます。詳しくは、販売担当員にお問い合わせください。

GDE用の管理およびインストールのガイドに、システム要件が記載されています。

GDE用の資料については、こちらを参照してください。

暗号化とは、データ、メッセージ、情報を、広く知られている方法（例えば、あるアルゴリズムに1つの追加情報（暗号鍵）を組み合わせるなど）を使用してエンコードするプロセスのことです。この場合、このアルゴリズムを知っており、かつ（通常非公開の）鍵にアクセスできる人だけがデータをデコードできます。

他のデータ保護オプションとは異なり、暗号化を使用すると、ホストがオンライン、オフラインのいずれであってもデータを保護することができるからです。また、ディスク・ドライブ、ソフトウェア定義ストレージ、その他のメディアは取り換えられたり、再使用されたり、廃棄されたりする場合があります。このようなメディア上のデータは、暗号化されて、所有者が鍵を制御している状態でなければ、保護されているとみなすことはできません。

エンコード・プロセス中に、暗号化アルゴリズムが暗号鍵を使用してデータを「ロック」し、暗号鍵にアクセスしないとデータを「アンロック」できないようにします。暗号鍵は、通常非公開です。データを安全に保護するには、鍵管理を適切に行うことが重要です。

暗号化によって保護されるデータが増えるにつれて、より多くの暗号鍵が使用されるようになります。いずれかの鍵を失うと、その鍵が保護していたデータも失われます。鍵を追跡・管理して、不慮の損失やセキュリティー障害から鍵を保護することが非常に重要です。幸いにも、GDEでは鍵の管理が自動化されています。

トークン化とは、元のデータ（クレジット・カード番号など）と同じタイプと長さを保持しながら、それをトークンと呼ばれる偽の情報に置き換えてデータを保護する方法です。この方法は、機密漏れのリスクを発生させずに、元のデータの形式を保持するために使用できます。

データ・マスキングは、データの文字を別のデータの文字で置き換えることです。マスキングの例には、「123-45-6789」の「***-**-6789」への変換があります。

暗号化の強度は、暗号化されたデータは暗号鍵なしに復号できないという考え方に基づいています。  これは、鍵が意図的に破棄された場合、暗号化されたデータは絶対復号できなくなるため、事実上使用できなくなるということでもあります。このプロセスは、「暗号的消去」と呼ばれます。