データの暗号化
データの暗号化は、データを安全に暗号化するプロセスであり、組織内外からの不正なアクセスから機密データを保護するために使用されます。たとえば、医療保険の請求を処理する企業のサポートに取り組んでいるCSRやベンダーは、顧客の個人識別情報(PII)にアクセスできません。
データの暗号化は双方向のプロセスです。許可されたユーザーは、暗号化されたデータを復号化できます。
補足: データの暗号化は、アプリケーションのセキュリティを保護するための1つの側面に過ぎません。セキュリティに関するリーディングプラクティスの完全なリストについては、Pega Platform™デプロイメントのための「セキュリティチェックリスト」を参照してください。
一般的に暗号化されるデータの例には、次の図に示すように、社会保障番号(SSN)や納税者識別番号(TIN)、クレジットカード番号、口座番号などがあります。
補足: ユーザーのパスワードは、パスワードのプロパティタイプを使用するプロパティに保存され、デフォルトでは、ハッシュと呼ばれる異なる不可逆的なプロセスによって保護されます。
データの暗号化の仕組み
データの暗号化では、暗号化と復号化を行うアルゴリズムである暗号を用いて、解読可能なテキストを解読不可能な形式にします。暗号では、文字列であるキーを用いて、一意の暗号化結果を生成します。各組織はPega Platformのデータを暗号化するためのカスタムキーを使用します。カスタムキーを使用することで、異なる組織が同じ暗号を使用して一意の暗号化結果を生成できます。Pega Platformでは、対称暗号化と非対称暗号化の両方を使用できます。
補足: セキュリティを高めるために、高度な構成であるキーの自動ローテーションを構成できます。詳細については、「Forcing data key rotation in platform cipher」を参照してください。
次の画像で「+」アイコンをクリックすると、データの暗号化と復号化の詳細が表示されます。
データの暗号化のアプローチ
主なデータの暗号化のアプローチには、クラスインスタンス全体を暗号化する方法と、特定のプロパティを暗号化する方法の2つがあります。データ暗号化のアプローチを選択する前に、アプリケーションのニーズと暗号化が必要なデータの量を考慮します。 クラスレベルの暗号化とプロパティレベルの暗号化を組み合わせて適用する方法が適切な場合もあります。2つの暗号化方法の利点と制限の内容については、次の表を参照してください。
| 暗号化のアプローチ | 利点 | 制限事項 |
|---|---|---|
| クラスレベル | データベースにBLOB(Binary Large Object)として保存されているケースやデータレコード全体を暗号化する効率的なメソッド。 | データベース内のBLOB以外のデータは暗号化されません。たとえば、レポート用の列として公開されているプロパティや、ケースを開いたときにクリップボードに保存されているプロパティ、セカンダリデータストアに保存されているプロパティは暗号化されません。 |
| プロパティレベル | データベース内外のプロパティを暗号化します。(具体的には、Clipboard、ログ、検索インデックス、レポート)プロパティタイプがTextの場合、レポート用に最適化されたプロパティを暗号化できます 。 | 多数のプロパティを個別に暗号化および復号化するには時間がかかります。 |
クラスレベル(BLOB)の暗号化
場合によっては、クラスレベルの暗号化が望ましいこともあります。たとえば、機密性の高い確定申告データを含むTax Returnケースタイプに関連付けられたクラスを暗号化する場合です。クラスレベルの暗号化は、Pega Platformでクラスインスタンスがデータベースに保存されるときに実行されます。復号化は、Pega Platformにインスタンスが取り込まれて開かれるときに実行されます。
クラスレベルの暗号化では、Pega Platformデータベースの特定のクラスに対応する行のBLOB列全体を暗号化します。次の画像は、Encrypt BLOBオプションを有効にしたClassフォームを示しています。
プロパティレベルの暗号化
場合によっては、個々のプロパティの暗号化が望ましいこともあります。Tax Returnケースタイプの例では、確定申告オブジェクトの暗号化に加えて、一意に識別できるデータを格納するプロパティを追加で保護できます。顧客の銀行口座番号や社会保障番号を格納するプロパティを暗号化し、データベース内外で関連付けられているデータを保護します。
プロパティレベルの暗号化では、PropertyEncryptアクセス制御ポリシーを構成し 、PropertyEncrypt制御ポリシーに暗号化するプロパティをリストします。次の画像は、暗号化の対象となる2つのプロパティ(BankAccountNumberとSocialSecurityNumber)を含むPropertyEncryptアクセス制御ポリシーレコードを示しています。
注: TextEncryptプロパティタイプの使用は廃止されており、代わりにPropertyEncryptアクセス制御ポリシーによる暗号化が推奨されます。
次の問題に答えて、理解度をチェックしましょう。
このトピックは、下記のモジュールにも含まれています。
- データの保護と監査 v5
トレーニングを実施中に問題が発生した場合は、Pega Academy Support FAQsをご確認ください。