Db2 ネイティブ暗号化

Db2 ネイティブ暗号化には、データベース・バックアップ・イメージと鍵データベース・ファイルが外部ストレージ・メディアに保管されている間、それらを不適切なアクセスから保護するための組み込み暗号化機能が用意されています。

重要:

CVE-2023-32342 に対応して、KMIPキー・マネージャへの接続に関して、 IBM CVE-2023-32342ため、 DT223175がリリースDb2 では、RSA鍵交換を使用するTLS暗号化方式をデフォルトで非FIPS IBM を使用することになります。

FIPS 140 認定の暗号モジュールのみを使用する必要があるお客様は、厳密 FIPS モードを有効にする必要があります。 厳格なFIPSモードでは、 DT223175 がリリースされた Db2は、 CVE-2023-32342に対して脆弱性のあるすべてのTLS暗号およびバージョンを無効にします。

DT223175: Db2で厳格モードが有効になっている場合、KMIPキー・マネージャへの接続には以下の制限が適用されます
  • RSA 鍵交換を使用する 1.2 暗号(TLS_RSA_*)は無効になります。 サポートされているすべてのECDHE暗号が有効になります。 RSA証明書を使用する場合は Db2は自動的に 1.2で TLS_ECDHE_RSA暗号を優先し、証明書の変更は必要ありません。
  • TLS 1.3 は CVE-2023-32342 の影響を受けません。
厳密 FIPS モードを有効にするには、 DB2AUTH レジストリー変数を STRICT_FIPS に設定します。 DB2AUTH 変数が既に設定されている場合は、複数のオプションをコンマで区切ることができます。 厳密な FIPS モードについて詳しくは、 業界標準 を参照してください。

暗号化は、オフライン・データの保護における主要な構成要素です。 多くの政府規定および業界標準で暗号化の使用が求められています。

Db2 ネイティブ暗号化機能:
  • 単純なデプロイメント
  • データ・スキーマやデータベース・アプリケーションに対する変更が必要ない
  • サポートされているすべての Db2 プラットフォームおよび構成で無料で使用できます。
Db2 で使用される暗号化機能は、FIPS 140-2 認定を受けており、NIST SP 800-131A 準拠の暗号アルゴリズムを採用しています。 また、 Db2 は、基礎となる CPU ハードウェア・アクセラレーションが使用可能であれば、それを自動的に検出して暗号化に使用します。
データベースを暗号化すると、 Db2 ネイティブ暗号化により、以下のようなデータを含むすべてのファイルが保護されます。
  • すべての表スペース (システム定義とユーザー定義の両方)
  • 表スペース内のすべてのタイプのデータ (LOB データ・タイプおよび XML データ・タイプを含む)
  • すべてのトランザクション・ログ (アーカイブされたログ・ファイルを含む)
  • LOAD COPY データ
  • LOAD ステージング・ファイル
Db2 ネイティブ暗号化を使用して、ソース・データベースが暗号化されていない場合でも、データベース・バックアップを暗号化することもできます。