Data encryption (データの暗号化)
QVF ファイルおよび QVD ファイル内の機密データは、お客様が用意したキー ペアを使用して暗号化できます。これにより、誰がデータにアクセスできるかを制御できます。暗号化キーは証明書を介して管理され、エンジン サービスを実行しているユーザーの証明書ストアに格納する必要があります。
暗号化は Qlik 管理コンソール (QMC) で設定され、それにより暗号化が有効になり、証明書のサムプリントが追加されます。データの暗号化は、既定では無効になっています。
エンジンは、サムプリントを読み取り、Windows CNG キー ストアからキーを取得するために使用します。次に、エンジンは、データの暗号化に使用される新しいデータ暗号化キー (DEK) を生成します。
QVF encryption (QVF 暗号化)
以下は暗号化されています:
- データ (テーブルと項目)
- ブックマーク
以下は暗号化されていません:
- シートやストーリーなどのオブジェクト
- 画像などの静的コンテンツ
QVD encryption (QVD 暗号化)
以下は暗号化されています:
- データ (テーブルと項目)
QVD ヘッダーは暗号化されません。暗号化パラメータは、追加のメタデータとして QVD ヘッダーに保存されます。
古いバージョンの Qlik Sense と QlikView は、暗号化された QVD ファイルを読み取るときにエラーを返します。
暗号化証明書
暗号化キーは証明書を使用することで適切に管理できます。エンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。[User accounts] (ユーザー アカウント) をご確認ください。
暗号化証明書は、暗号化キーを囲むシェルとして機能します。証明書の有効期限が切れていてもキーを取得できるため、有効期限が切れた暗号化証明書を更新する必要はありません。
すべての QVF および QVD が新しい鍵で保存されるまで、古い鍵を含む証明書をサーバーに保管してください。
暗号化キー
暗号化ソリューションで使用されるキーの種類は 2 つあります。
- データの暗号化キー
- キーの暗号化キー
データの暗号化キー
データ暗号化キー (DEK) は、データを AES-256 で暗号化するために自動生成されるキーです。暗号化するオブジェクトごとに新しいキーが生成されます。
キーの暗号化キー
キーの暗号化キー (KEK) は、データの暗号化キーのセキュアな非対称暗号化に使用する秘密鍵と公開鍵のペアです。公開鍵はデータの暗号化に使用され、秘密鍵は公開鍵で暗号化されたデータの復号に使用されます。
キー暗号化に使用されるキーは、Qlik 管理コンソール (QMC) で指定されますサービス クラスターリソースのデータの暗号化セクション、「サービス クラスタ」 を参照してください。
これは、Microsoft Cryptography Next Generation (CNG) Key Storage Providerに格納され、Windows 証明書ストアに格納された証明書に含まれます。
暗号化証明書を有効にして管理する方法の詳細については、「暗号化証明書」を参照してください。