Encryption at Rest - Securing Data on Diskとは

About 2 min read

保存時暗号化 (Encryption at Rest) とは、ストレージに保存されたデータを 暗号化して保護する技術です。ハードディスク、SSD、クラウドストレージなどに 保存されたデータが物理的に盗まれたり、不正にアクセスされたりしても、 暗号化されていれば内容を読み取ることができません。2025 年現在、 主要なクラウドサービス (AWS、Azure、GCP) ではデフォルトで保存時暗号化が 有効化されており、企業のコンプライアンス要件としても標準的な対策です。 通信中の暗号化 (Encryption in Transit) と対をなす概念です。

現場での使用例

「社員のノート PC が出張先で盗難に遭いましたが、BitLocker による フルディスク暗号化が有効だったため、データ漏洩のリスクは極めて低いと 判断しました。暗号化なしの場合、顧客情報の漏洩として報告義務が発生していました。」

保存時暗号化の方式

フルディスク暗号化 (FDE) はディスク全体を暗号化する方式で、BitLocker (Windows) や FileVault (macOS) が代表的です。ファイルレベル暗号化は個別のファイルやフォルダを 暗号化します。データベース暗号化は TDE (Transparent Data Encryption) などで データベース内のデータを保護します。クラウド環境では AWS KMS や Azure Key Vault を使ったサーバーサイド暗号化が標準的です。data encryption books on Amazonで詳しく学べます。

通信時暗号化との違い

保存時暗号化がストレージ上のデータを保護するのに対し、 通信時暗号化 (SSL/TLS など) は ネットワーク上を流れるデータを保護します。たとえば、HTTPS で送信された パスワードは通信中は暗号化されますが、サーバーのデータベースに保存される際に 保存時暗号化がなければ平文で残ります。完全なデータ保護には両方が必要です。暗号化の基礎知識で 両者の関係を詳しく解説しています。

パスワードとの関連

暗号化されたストレージの復号にはパスワードや暗号鍵が必要です。 パスつく.com で生成した強力なパスワードをディスク暗号化のパスフレーズに 使用することで、物理的な盗難に対しても高い保護を実現できます。 暗号鍵の管理も重要で、鍵を紛失するとデータにアクセスできなくなります。 ノート PC の紛失・盗難は年間数百万台に上るとされ、クラウドストレージのセキュリティと 合わせてフルディスク暗号化は必須の対策です。key management books (Amazon)も参考になります。