クラウド・インフラ

保存データの暗号化

Encryption at Rest

ストレージに保存されているデータを暗号化により保護する技術です。データ漏洩やデバイス盗難を防ぎます。

保存データの暗号化 データ保護 ストレージセキュリティ 暗号化技術 情報セキュリティ
作成日: 2025年12月19日 更新日: 2026年4月2日

保存データの暗号化とは

保存データの暗号化は、ハードドライブやクラウドストレージに保存されているデータを、誰もが読めない暗号化形式に変換する技術です。 デバイスが盗まれたり、不正にアクセスされたりしても、正しい鍵がなければ、データは読み取り不可能なままです。

ひとことで言うと: 金庫に貴重品を保管するのと同じく、データを鍵のかかった状態で保存することで、盗難時の被害を防ぎます。

ポイントまとめ:

  • 何をするものか: 保存データを読み取り不可能な暗号文に変換する
  • なぜ必要か: デバイス盗難やストレージアクセス制御違反から保護するため
  • 誰が使うか: すべての組織、特に個人情報を扱う業界

なぜ重要か

データ漏洩の大半は、盗まれたデバイスや不正アクセスが原因です。保存データ暗号化があると、たとえデバイスが盗まれても、データは保護されたままです。また、GDPR、HIPAA、PCI DSSなど、多くの規制がデータ保護のための暗号化を要求しています。

特に、ノートパソコンやUSBドライブなどのモバイルデバイスが盗まれるリスクは常に存在し、転送中の暗号化だけでは不十分です。

仕組みをわかりやすく解説

保存データ暗号化には大きく3つのレベルがあります。

フルディスク暗号化(FDE) は、ディスク全体のすべてのデータを暗号化します。ユーザーがログインすると自動的に復号化される仕組みなので、ユーザー体験は変わりません。最もシンプルで、広く採用されている方法です。

データベースレベル暗号化 は、データベース内の特定のカラムや情報だけを暗号化します。例えば、顧客の社会保障番号のカラムだけを暗号化し、他のデータはそのままという使い方ができます。より細かい制御が可能ですが、実装は複雑です。

ファイルレベル暗号化 は、個々のファイルやフォルダを暗号化します。機密文書だけを保護し、一般的なファイルは暗号化しないなど、柔軟な運用ができます。

これらの方法で使われるのは、通常 AES-256 という強力な暗号化アルゴリズムです。鍵の管理も重要で、鍵が漏洩すれば暗号化は意味がなくなります。多くの組織は、鍵を一元管理する 鍵管理システム(KMS) を導入しています。

実際の活用シーン

医療機関のカルテ保護 患者の医療記録データベースをデータベースレベル暗号化で保護し、HIPAA規制に準拠します。ノートパソコンが盗まれても、患者情報は安全です。

クレジットカード情報の保護 金融機関は、顧客のクレジットカード番号をフルディスク暗号化とフィールドレベル暗号化の組み合わせで保護し、PCI DSS基準を満たします。

開発環境でのテストデータ保護 本番システムのコピーを開発環境で使う場合、機密情報は暗号化しながら、テスト作業は通常通り行えます。

適用範囲

保存データ暗号化の適用範囲は、組織の規模や業界によって異なります:

個人情報を扱う業界: 医療(HIPAA)、金融(PCI DSS)、弁護士事務所は、ほぼ必須です。 クラウドサービス利用企業: パブリッククラウドを使う場合、プロバイダー側とクライアント側の両方で暗号化を検討すべきです。 モバイルデバイス: ノートパソコン、タブレット、外部ドライブは、盗難リスクが高いため必須です。

主な要件

保存データ暗号化を実装する際の重要な要件:

強力なアルゴリズムを使用: AES-256、ChaCha20など、業界標準の最新アルゴリズムを使用します。 鍵管理プロセス: 鍵の生成、安全な保管、定期ローテーション、失効処理を自動化します。 パフォーマンス考慮: 暗号化・復号化の計算オーバーヘッドがシステムパフォーマンスに影響するため、ハードウェアアクセラレーションの導入も検討します。 バックアップとリカバリ計画: 暗号化されたデータのバックアップと災害復旧プロセスを確立します。

違反した場合

暗号化要件に違反すると:

規制罰金: GDPR違反なら最大2,000万ユーロまたは売上の4%、HIPAA違反は最大100ドル/レコード 信用失墜: 顧客が個人情報の保護不足を認識すれば、企業への信頼は著しく低下 法的責任: データ漏洩訴訟で個人や企業が組織を提訴する可能性 事業中断: セキュリティインシデント対応に多大なリソースと時間を要する

関連用語

よくある質問

Q: すべてのデータを暗号化する必要がある? A: 公開情報は暗号化不要ですが、個人情報や業務機密は必須です。リスクレベルに基づいて判断してください。

Q: クラウドプロバイダーが暗号化しているなら、こちらでもする必要がある? A: はい。プロバイダーの暗号化とは別に、クライアント側でも暗号化(end-to-end)することで、二重の保護が実現します。

Q: 暗号化によるパフォーマンス低下はどのくらい? A: 現代的なハードウェアでは1〜5%程度。ハードウェアアクセラレーションで影響をほぼなくせます。

関連用語

GDPR

EUの包括的なデータ保護規則であるGDPRについて理解しましょう。その原則、コンプライアンス要件、データ主体の権利、そしてAIチャットボットへの影響について学びます。...

詳細を見る
用語集に戻る
×
お問い合わせ Contact