Microsoft Double Key EncryptionをEntrustn Shield HSMと統合
Azure Information Protection(AIP)用のMicrosoft Double Key Encryptionを使用すると、最も機密性の高いOffice 365コンテンツを保護することができます。Entrustプロフェッショナルサービスが提供するMicrosoft AIP用のDouble Key Encryptionは、認定取得済みのEntrust nShield®ハードウェア・セキュリティ・モジュール(HSM)を統合して、機密性の高い暗号鍵を保護する信頼の基点を提供します。ツールとハードウェアがそろうと、ダブルキー生成プロセスを支えるソフトウェアを完全に所有して制御を行き届かせることができるようになり、Microsoftのフットプリントが社内設備からなくなります。
Microsoft AzureのHold your Own Key(HYOK)と違い、Double Key Encryptionでは独自のActive DirectoryおよびRights Managementサーバを操作する必要はありません。それどころか、nShield HSMで保護された固有の暗号鍵をリアルタイムで提供できます。
このアーキテクチャに基づくと、鍵を制御するだけではなく、鍵を管理するソフトウェアも制御できるようになります。この統合ソリューションが特に適しているのは、次のことが必要な場合です。
- 機密性も価値も高いアーティファクトの保護
- 鍵とデータの制御を管理する業界基準および法規制への準拠
仕組み
Double Key Encryption(DKE)は、機密性の高いデータを保護するために2つのコンポーネント鍵を利用します。顧客が管理する鍵とMicrosoft Azureが安全に保存しているMicrosoft鍵です。顧客のDKE鍵は、堅固なFIPS140-2レベル3およびコモンクライテリアEAL4+認定取得済みのEntrust nShield(R)HSMを使用して生成および保護され、組織の機密データを暗号化するために使用されます。続いて、Microsoftが提供するAzure Information Protection(AIP)鍵が、データを再度暗号化します。このプロセスにより、Microsoftを含む第三者は顧客のコンテンツにアクセスできなくなります。
Entrust nShield HSMを統合
EntrustのDouble Key Encryptionは、FIPS 140-2レベル3およびコモンクライテリEAL4+認定取得済みのnShield Solo XC(PCIe)ならびにnShield Connect XC(ネットワーク接続)HSMでサポートされています。 これらのHSMは、Double Key Encryptionサーバとキーストアを保護するマスター鍵を保持しています。本番環境とディザスタリカバリ環境の全体の冗長性を保つために、通常は4つのnShield HSMが展開されます。
nShield HSM
Entrust nShield HSMは、最高のパフォーマンスを誇る、何よりも安全で統合が容易なHSMソリューションの1つです。Entrust nShield HSMは、規制へのコンプライアンスを促進し、データの保護が必要な企業、金融機関、政府、その他の組織に、データおよびアプリケーションに対する最高レベルのセキュリティを提供します。この唯一無二のnShield Security World鍵管理アーキテクチャは、鍵のアクセスと使用を強力に、かつきめ細かく制御します。
Double Key Encryptionのメリット
セキュリティを二重にする
Azureクラウドで最も機密性の高いコンテンツに、2層のセキュリティを適用。
データへのアクセスを制御する
鍵および鍵で保護されているコンテンツへの(Microsoftを含む)ユーザアクセスを管理します。
鍵を所有して管理する
鍵と鍵を生成するソフトウェアを所有して完全に制御します。
鍵のホスティングとストレージを制御する
鍵をホスティングして、重要なデータを好きな場所に保存します。