PolarDB:列レベルの暗号化

パフォーマンスオーバーヘッド

インデックス使用に関する制限

暗号化カラム上のインデックスは、プレーンテキストではなく暗号文でソートされます。暗号化された値空間における比較は範囲に対して意味を持たないため、インデックスを利用できるのは等価比較（ポイントクエリ）のみです。WHERE age > 20 のような範囲クエリや、LIKE '%key%' のようなパターンマッチングはインデックスを利用できず、全表スキャンが発生します。

機密性の高いカラムに対して範囲比較を頻繁に実行するクエリが必要な場合は、アプリケーション層での暗号化を検討してください。アプリケーション層ではクエリロジックに対する制御がより柔軟です。

テーブルプロパティに関する制限

• 仮想カラムを含むテーブルはサポートされません。

• InnoDB ストレージエンジンのみがサポートされます。

• パーティションテーブルはサポートされません。

• 暗号化カラムには VARBINARY 型を使用する必要があります。

• フィールド長は最低でも 44 バイトである必要があります。

• ADD COLUMN を使用して暗号化カラムを直接追加することはできません。MODIFY を使用して、既存の標準カラムを暗号化カラムに変換してください。

ステップ 1：PolarDB による KMS アクセスの承認

続行する前に、PolarDB による KMS アクセスの承認を行ってください。

ステップ 2：TDE の有効化

列レベルの暗号化は、キー管理のために TDE を利用します。PolarDB コンソールから TDE を有効化してください。

1. PolarDB コンソールにログインします。左側のナビゲーションウィンドウで クラスター をクリックし、クラスターのリージョンを選択してクラスター ID をクリックします。

2. 左側のナビゲーションウィンドウで 設定と管理 > セキュリティ をクリックします。

3. TDE 設定 タブで、TDE ステータス を有効化し、カスタムキーを指定します。

   

4. キーを選択します。「既存のカスタムキーを使用」または「ポップアップウィンドウでキーを選択」のいずれかを選択します。キーは KMS によって生成可能です。

   

KMS でキーを削除する前に、そのキーがすべての暗号化テーブル（履歴バージョンを含む）から関連付け解除されていることを確認してください。そうでない場合、PolarDB クラスターは再起動後に利用不可になる可能性があります。

ステップ 3：列レベルの暗号化パラメーターの有効化

loose_polar_enable_column_encryption パラメーターを ON に設定します。手順については、「クラスターおよびノードパラメーターの設定」をご参照ください。

ステップ 4：必要な特権の付与

列レベルの暗号化関数を使用するには、ご利用のデータベースアカウントに ENCRYPTION_FUN_ADMIN 特権が必要です。特権アカウント がこの特権を付与できます。

-- 特権の付与
GRANT ENCRYPTION_FUN_ADMIN ON *.* TO 'testman'@'%';

-- 特権の確認
SHOW GRANTS;

暗号化カラムを含むテーブルの作成

カラムを暗号化としてマークするには、ENCRYPTION キーワードを使用します。

USE mydatabase;
CREATE TABLE IF NOT EXISTS `my_pan` (
    `id` INT NOT NULL AUTO_INCREMENT,
    `pan` VARBINARY(128) NOT NULL ENCRYPTION,
    `desc` blob Default NULL,
    KEY `idx_pan` (`pan`),
    PRIMARY KEY (`id`)
);

デフォルト値が NULL のカラムは暗号化可能ですが、NULL 値は暗号化されません。

既存カラムの変換

標準カラムを暗号化カラムに変換したり、暗号化を解除したりするには、MODIFY を使用します。

-- 暗号化への変換
ALTER TABLE my_pan MODIFY `pan` VARBINARY(128) ENCRYPTION;

-- 暗号化の解除
ALTER TABLE my_pan MODIFY `pan` VARBINARY(128) NOT ENCRYPTION;

暗号化カラムへのインデックス構築

構文は標準カラムの場合と同じです。インデックスデータは暗号文として格納され、暗号化された値でソートされます。

CREATE INDEX idx_pan ON my_pan(pan);

データの挿入

暗号化カラムに挿入されたデータは自動的に暗号化されます。enhanced_aes_encrypt を挿入時に呼び出す必要はありません。

INSERT INTO `my_pan` VALUES(1, "my_passwd", "aaa");

データのクエリ

暗号化および復号のための 2 つの関数は以下のとおりです。

-- 値の暗号化（WHERE 句で使用）
enhanced_aes_encrypt(data, db_name, table_name)

-- 値の復号（SELECT 句または WHERE 句で使用）
enhanced_aes_decrypt(data)

一般的なクエリパターンは以下の 3 つです。

-- 1. インデックスなしのポイントクエリ（範囲クエリ形式）：各行を復号し、全表スキャンが発生
SELECT id, enhanced_aes_decrypt(pan) FROM `my_pan`
WHERE enhanced_aes_decrypt(pan) = 'my_password_10';

-- 2. インデックスを使用したポイントクエリ（プレーンテキストを返却）
SELECT id, enhanced_aes_decrypt(pan) FROM `my_pan`
WHERE pan = enhanced_aes_encrypt('my_password_10', "mydatabase", "my_pan");

-- 3. インデックスを使用したポイントクエリ（暗号文を返却）
SELECT id, pan FROM `my_pan`
WHERE pan = enhanced_aes_encrypt('my_password_10', "mydatabase", "my_pan");

データの更新および削除

-- 主キーインデックスを使用した更新
UPDATE `my_pan` SET pan = 'new6-password', DESC = 'Senior6' WHERE id = 1;

-- 暗号化カラムインデックスを使用した更新
UPDATE `my_pan` SET pan = 'new6-password', DESC = 'Senior6'
WHERE pan = enhanced_aes_encrypt('my_password_6', "mydatabase", "my_pan");

-- 主キーインデックスを使用した削除
DELETE FROM `my_pan` WHERE id = 1;

-- 暗号化カラムインデックスを使用した削除
DELETE FROM `my_pan`
WHERE pan = enhanced_aes_encrypt('my_password_2', "mydatabase", "my_pan");

キー使用状況の確認

すべての暗号化テーブルで使用中のキーを確認するには、以下のステートメントを実行します。

SELECT * FROM information_schema.INNODB_COLUMN_ENCRYPTED_TABLE;

キーのローテーション

PolarDB はカスタムキーのマスターキーのバージョンを自動的に更新しません。キーを手動でローテーションするには、「キーのローテーション」をご参照ください。

キーのローテーション後は以下のようになります。

• 新規に作成される暗号化テーブルは新しいキーを使用します。

• 既存の暗号化テーブルは、元のキーで引き続き暗号化されたままです。

既存テーブルの再暗号化

データローテーションでは、テーブル内のすべてのデータを最新のキーで再暗号化します。この操作は CPU および I/O リソースを消費しますが、必須ではありません。ただし、既存のデータテーブルで使用されたすべてのキーは引き続き利用可能である必要があります。

ALTER TABLE <table_name> ENGINE = innodb, ALGORITHM = COPY;

デフォルトでは、ALGORITHM = COPY によりデータローテーション中にテーブルがロックされます。サービス中断を回避するには、オンラインコピー機能を有効化してください（「オンラインコピーの有効化」をご参照ください）。

データローテーション中のロック動作：