メイン コンテンツをスキップする

Data encryption (データの暗号化)

このページ上

Data encryption (データの暗号化)

QVF ファイルおよび QVD ファイル内の機密データは、お客様が用意したキー ペアを使用して暗号化します。これにより、誰がデータにアクセスするかを制御できます。暗号化キーは証明書を介して管理され、エンジン サービスを実行しているユーザーの証明書ストアに格納する必要があります。

暗号化は Qlik Management Console (QMC) で設定され、それにより暗号化が有効になり、証明書のサムプリントが追加されます。データの暗号化は、既定では無効になっています。

エンジンは、サムプリントを読み取り、Windows CNG キー ストアからキーを取得するために使用します。次に、エンジンは、データの暗号化に使用される新しいデータ暗号化キー (DEK) を生成します。

注: DEK は決して再利用されないため、1 つのファイルが危険にさらされても、暗号化は他のすべてのファイルに対して有効です。

QVF encryption (QVF 暗号化)

以下は暗号化されています:

  • データ (テーブルと項目)
  • ブックマーク

以下は暗号化されていません:

  • シートやストーリーなどのオブジェクト
  • 画像などの静的コンテンツ
注: QMC で QVF 暗号化が有効になった後で暗号化するには、既存の QVF をリロードする必要があります。

QVD encryption (QVD 暗号化)

以下は暗号化されています:

  • データ (テーブルと項目)

QVD ヘッダーは暗号化されません。暗号化パラメータは、追加のメタデータとして QVD ヘッダーに保存されます。

注: QMC で QVD 暗号化が有効になった後で暗号化するには、既存の QVD をリロードする必要があります。

古いバージョンの Qlik SenseQlikView は、暗号化された QVD ファイルを読み取るときにエラーを返します。

暗号化証明書

暗号化キーは証明書を使用することで適切に管理できます。エンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。[User accounts] (ユーザー アカウント) をご確認ください。

暗号化証明書は、暗号化キーを囲むシェルとして機能します。証明書の有効期限が切れていてもキーを取得できるため、有効期限が切れた暗号化証明書を更新する必要はありません。

警告: 証明書を必ずバックアップしてください。証明書を紛失すると、暗号化されたアプリを開けなくなる可能性があります。必要な間、証明書のバックアップを安全に保管するのはお客様の責任です。
注: 組織にキー ローテーション ポリシーがある場合は、キーが変更されたときにサムプリントの定義を更新する必要があります。

すべての QVF および QVD が新しい鍵で保存されるまで、古い鍵を含む証明書をサーバーに保管してください。

暗号化キー

暗号化ソリューションで使用されるキーの種類は 2 つあります。

  • データの暗号化キー
  • キーの暗号化キー

データの暗号化キー

データ暗号化キー (DEK) は、データを AES-256 で暗号化するために自動生成されるキーです。暗号化するオブジェクトごとに新しいキーが生成されます。

キーの暗号化キー

キーの暗号化キー (KEK) は、データの暗号化キーのセキュアな非対称暗号化に使用する秘密鍵と公開鍵のペアです。公開鍵はデータの暗号化に使用され、秘密鍵は公開鍵で暗号化されたデータの復号に使用されます。

注: 対応しているのは、RSA アルゴリズムを使用したキーのみです。

キー暗号化に使用されるキーは、Qlik Management Console (QMC) で指定されますサービス クラスターリソースのデータの暗号化セクション、「サービス クラスタ」 を参照してください。

これは、Microsoft Cryptography Next Generation (CNG) Key Storage Providerに格納され、Windows 証明書ストアに格納された証明書に含まれます。

暗号化証明書を有効にして管理する方法の詳細については、「暗号化証明書」を参照してください。