EFS を使用した SQL Server データベースの暗号化、バックアップ、および復元

暗号化ファイル・システム (EFS) は、情報を暗号化された形式でハード・ディスクに保管できるようにする、Microsoft Windows の機能です。EFS は、高度な標準暗号アルゴリズムを使用することで、ファイルの透過的な暗号化および暗号化解除を可能にします。SQL Server Standard Edition を使用している場合は、この方式を使用してデータベース・ファイルを暗号化してください。

始める前に

このタスクでは、以下のことを前提としています。
  1. 以下のような SQL Server サービス用のサービス・アカウントを選択済みである。
    • 暗号化されたデータベースとそのバックアップの存続期間中、有効のままである。
    • ネットワーク経由でのデータベースまたはそのバックアップの転送に使用できる (必要な場合)。
    注:
    • サービス・アカウントは、AppScan® Enterprise 用に使用するものと同じであっても、異なっていても構いません。
    • 1 つのサービス・アカウントを使用して、SQL Server サービスにログインし、そのサービスを通じてホストされるすべてのデータベースの暗号化を行います。
    • 以下の説明では、SQL Server サービス・アカウントを「サービス・アカウント」と呼びます。
  2. データベースのファイル・パスが、ここにリストされているデフォルトの場所とは異なっている場合、ファイル・パスの場所を確認済みである。この情報は、ステップ 3 で必要になります。デフォルトの場所を確認するには、Microsoft SQL Server Management Studio を開きます。データベースをホストする SQL Server を右クリックします。「プロパティ」 > 「データベースの設定」 > 「データベースの既定の場所」をクリックします。

このタスクについて

この手順は、構成ウィザードを実行する前に完了する必要があります。完了しない場合は、データベースにアクセスすることはできません。AppScan Enterprise のための SQL Server データベースの構成を参照してください。

手順

  1. 「スタート」 > 「管理ツール」 > 「サービス」に移動し、暗号化しようとしている AppScan® Enterprise データベースをホストする SQL Server サービスを停止します。デフォルトのサービスは SQL Server (MSSQLSERVER) です。
  2. サービスの名前を右クリックして、プロパティー・ダイアログを開きます。「ログオン」タブで、「次のアカウント」を選択し、サービス・アカウントの資格情報を入力して、「OK」をクリックします。
  3. Windows エクスプローラーで、データベースがあるフォルダーを右クリックし、「プロパティ」 > 「セキュリティ」に移動し、サービス・アカウントに対して、<databasename.mdf> ファイルと親フォルダーの両方への読み取りと実行アクセス権限および読み取りアクセス権限を付与します。
    注: データベースの暗号化には、ログインしているユーザーの資格情報が使用されます。サービス・アカウントとしてログインしていない場合は、ここで行ってください。
  4. <databasename.mdf> ファイルが含まれるフォルダーを右クリックし、「プロパティ」 > 「全般」 > 「詳細設定」に移動します。「内容を暗号化してデータをセキュリティで保護する」チェック・ボックスを選択し、「OK」をクリックします。
    注:

    フォルダーがまだ暗号化されていない場合は、プロンプトが出されたときに「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」を選択します。サーバー構成ウィザードの実行後にこのオプションを選択すると、データベースが暗号化されません。このプロセスが、サーバー構成ウィザードの実行後にデータベースと該当するログ・ファイルに適用された場合、データベースは「リカバリー・ペンディング」状態に入ることがあります。その場合、SQL Server 管理ツールおよび AppScan Enterprise では、暗号化されたデータベースにアクセスできません。

  5. 「サービス」ウィンドウで、AppScan® Enterprise データベースをホストする SQL Server を始動します。

タスクの結果

DATA フォルダー C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\DATA (Microsoft SQL Server 2014 Standard のインストール中にデフォルト値を使用した場合) は、暗号化された後、Windows エクスプローラー内に緑色で表示されます。この手順後に追加されたすべてのデータベース (サーバー構成ウィザードにより作成された AppScan Enterprise データベースなど) は暗号化されます。

注: ファイルを暗号化したユーザーのみが、そのファイルを暗号化解除できます。「プロパティ」 > 「詳細設定」ウィンドウの「詳細」セクションで、特定のファイルを暗号化したユーザーを確認できます。暗号化されたデータベースのバックアップは、自動的には暗号化されません。『EFS で暗号化されたデータベースのバックアップと復元』の手順に従ってください。

EFS で暗号化されたデータベースのバックアップと復元

ファイルの暗号化を保持するために、暗号化されたバックアップ・データベース・ファイルを、同じバージョンの Windows 上でホストされているネットワーク共有の場所に移動できます。暗号化されたデータベース・ファイルが保管されているどの場所からでも、データベースを復元できます。SQL Server に復元する場合は、そのサーバーのサービスが、データベースを暗号化したユーザーのサービス・アカウント資格情報を使用して実行されていなければなりません。ただし、復元されたデータベース・ファイルは暗号化されていないため、上記のタスクの手順を使用して暗号化する必要があります。

手順

  1. Windows エクスプローラーで、データベース・バックアップがあるフォルダーを展開し、サービス・アカウントに対して、<databasename.bak> ファイルへの読み取りと実行アクセス権限および読み取りアクセス権限を付与します。
    注: データベースの暗号化には、ログインしているユーザーの資格情報が使用されます。サービス・アカウントとしてログインしていない場合は、ここで行ってください。
  2. <databasename.bak> ファイルを右クリックし、「プロパティ」 > 「全般」 > 「詳細設定」 > 「内容を暗号化してデータをセキュリティで保護する」に移動し、「OK」をクリックします。