SE の雑記

SQL Server 2025 の新機能として本ブログでは次の投稿をしました。

• SQL Server 2025 のパフォーマンス向上のための新機能
• SQL Server 2025 の可用性向上についての新機能

SQL Server 2025 の Deck の最後のカテゴリとして、セキュリティの新機能についてまとめておきたいと思います。

公式のドキュメントとしては、セキュリティ となります。

 

SQL Server 2025 のセキュリティについての新機能

スライドではセキュリティについての新機能は次のように記載されています

 

セキュリティキャッシュの機能改善

• セキュリティ キャッシュの無効化

  • 従来までは、セキュリティキャッシュの無効化が内部的にトリガーされると、現在のすべてのキャッシュエントリが無効になっていた。
  • 特定のログインに対してのみセキュリティキャッシュを無効にすることができるようになっており、セキュリティキャッシュエントリが無効になる場合、影響を受けるログインのエントリのみが無効化されて、影響を受けないログインについてはセキュリティキャッシュが維持されるようになり、キャッシュを無効にする際のオーバーヘッドが抑えられるようになった。
    • 内部的な挙動の改善であるため、セキュリティキャッシュの無効化の操作の粒度にユーザーは関与できないようである。

 

暗号化アルゴリズムの強化

• RSA 暗号化の OAEP-256 のサポート
  • 互換性レベル 170 以上では PKCS#1 v1.5 パディングモードではなく、OAEP-256 パディングモードが使用されるようになる。
    • CREATE SYMMETRIC KEY に挙動についての記載があることを確認。
    • 内部的な挙動の改善のため、ユーザーが明示的に制御できる個所はなさそうである。

 

パスワードハッシュの改善

• パスワードハッシュに PMKDF2 を使用
  • CREATE LOGIN / CREATE USER / CREATE APPLICATION ROLE  といったハッシュされたパスワードを格納される情報で、PBKDF2 が使用され、NIST-SP 800-63b ガイドラインの準拠の一助となる 。

 

Microsoft Entra マネージド ID のサポート

• Azure Arc で有効になっている SQL Server のマネージド ID
• SQL Server 2022 で Azure Arc 対応 SQL Server 用に Microsoft Entra 認証を設定する の機能が提供されたが、Entra アプリケーションを使用して、Entra 認証を使用するための機能となり、マネージド ID を設定することはできなかった。
• 次のような機能で Azure と連携していたがマネージド ID を使用した連携はできなかった。
• Azure Key Vault を使用した SQL Server TDE 拡張キー管理を設定する
• Microsoft Azure Blob Storage 用 URL への SQL Server バックアップ
• Azure Arc 対応サーバーでの Azure リソースに対して認証を行う の機能があったが、アプリケーションからアクセストークンを取得して Azure リソースへのアクセスを実施していた。
• SQL Server 2025 では、Azure Arc 対応 SQL Server で、マネージド ID を使用することができるようになったことで次の操作が可能となった。
• Azure Key Vault を使用した拡張キー管理のマネージド ID のサポート
• 管理対象 ID を使用して URL にバックアップする (プレビュー) – Azure Arc で有効化された SQL Server
• マネージド ID を使用して Azure OpenAI で EXTERNAL MODEL を作成する

 

Microsoft Entra ログインの解決の改善

• Entra ID で一意でない表示名のユーザーの利用
• 同様のリソース名等で Entra ID のサービスプリンシパルの表示名が重複してしまった場合に、マネージド ID を使用して SQL Server 上にログインを作成しなくては異形な場合に、WITH OBJECT_ID を使用して、オブジェクト ID による名前解決でユーザーを作成することができるようになった。
• SQL Database の Create SQL logins and users for nonunique Microsoft Entra principals with Object ID – GA が SQL Server でも使用することができるようになった。
• 従来からも 同一のリソース名のマネージド ID が存在する場合の SQL DB のユーザー作成について ? 暫定版 ? の方法で作成はできていたがシンプルな方法で対応可能となった。

 

SQL Server on Linux のカスタムパスワードポリシーの設定

• SQL Server on Linux で SQL ログインのカスタム パスワード ポリシーを設定する
• mssql-conf / adutil を使用して SQL Server on Linux でカスタムパスワードポリシーを設定できるようになった。

 

TDS 8.0 のサポート強化

• データベースエンジンとして TDS 8.0 は SQL Server 2022 でサポートされたが、SQL Server 2025 では、次のツールでの TDS 8.0 のサポートを追加
• sqlcmd ユーティリティ / bcp ユーティリティ / SQL VSS ライター / SQL CEIP サービス / Polybase