保存時暗号化とは

この記事は約 2 分で読めます

保存時暗号化 (Encryption at Rest) とは、ストレージに保存されたデータを 暗号化して保護する技術です。ハードディスク、 SSD 、クラウドストレージなどに 保存されたデータが物理的に盗まれたり、不正にアクセスされたりしても、 暗号化されていれば内容を読み取ることができません。 2025 年現在、 主要なクラウドサービス (AWS 、 Azure 、 GCP) ではデフォルトで保存時暗号化が 有効化されており、企業のコンプライアンス要件としても標準的な対策です。 通信中の暗号化 (Encryption in Transit) と対をなす概念です。

現場での使用例

「社員のノート PC が出張先で盗難に遭いましたが、 BitLocker による フルディスク暗号化が有効だったため、データ漏洩のリスクは極めて低いと 判断しました。暗号化なしの場合、顧客情報の漏洩として報告義務が発生していました。」

保存時暗号化の方式

フルディスク暗号化 (FDE) はディスク全体を暗号化する方式で、 BitLocker (Windows) や FileVault (macOS) が代表的です。ファイルレベル暗号化は個別のファイルやフォルダを 暗号化します。データベース暗号化は TDE (Transparent Data Encryption) などで データベース内のデータを保護します。クラウド環境では AWS KMS や Azure Key Vault を使ったサーバーサイド暗号化が標準的です。データ暗号化の書籍 (Amazon)で詳しく学べます。

通信時暗号化との違い

保存時暗号化がストレージ上のデータを保護するのに対し、 通信時暗号化 (SSL/TLS など) は ネットワーク上を流れるデータを保護します。たとえば、 HTTPS で送信された パスワードは通信中は暗号化されますが、サーバーのデータベースに保存される際に 保存時暗号化がなければ平文で残ります。完全なデータ保護には両方が必要です。暗号化の基礎知識で 両者の関係を詳しく解説しています。

パスワードとの関連

暗号化されたストレージの復号にはパスワードや暗号鍵が必要です。 十分な長さのランダムパスワードをディスク暗号化のパスフレーズに 使用することで、物理的な盗難に対しても高い保護を実現できます。 暗号鍵の管理も重要で、鍵を紛失するとデータにアクセスできなくなります。 ノート PC の紛失・盗難は年間数百万台に上るとされ、クラウドストレージのセキュリティと 合わせてフルディスク暗号化は必須の対策です。鍵管理の書籍 (Amazon)も参考になります。