暗号化鍵の管理方法

暗号化鍵は、英数字コードまたは一連の文字であり、アルゴリズムまたは数学的プロセスと共に使用され、誰でも読み取ることができるプレーンテキストデータを、解読しない限り読み取ることができないスクランブルされた暗号テキストに変換します。 暗号化鍵は、ストレージ内、転送中、および使用中のプライベートデータと機密データを保護するために使用されます。 暗号化されたデータまたは暗号文は、関連付けられた復号化鍵でスクランブル解除された後にのみ読み取ることができます。

暗号化鍵は対称または非対称になります。 対称暗号化鍵を使用する場合、同じ鍵を使用してデータを暗号化し、復号化して読み取り可能なテキストに戻します。 非対称鍵が使用される場合、1つの公に共有された鍵（公開鍵）がプレーンテキストデータを暗号化し、決して共有されず秘密に保たれる鍵（秘密鍵）がデータの復号化に使用されます。 対称暗号化と非対称暗号化のどちらを使用する場合でも、目的は暗号化されたデータの機密性を維持することです。 暗号化されたデータが悪用された場合でも、データは保護されたままです。 このため、鍵を保護することは非常に重要です。鍵を紛失すれば、データが失われます。

暗号化には長い歴史があり、特に戦争で長い間使用されてきました。 初期のギリシャ人は、転置暗号（暗号化の一種）を使用して、情報が敵の手に渡らないように保護していました。 現代では、情報化時代の到来により、暗号化はデータとアプリケーションを保護するために不可欠なツールになりました。 最初は主に銀行および金融アプリケーションで使用されていましたが、その採用はデジタルトランスフォーメーションの分野全体に広まり、多くの規制された業界で義務付けられた要件になりました。

今日、暗号化はベストプラクティスになり、幅広いアプリケーションや業界で使用されています。 日々の活動がますますオンラインで行われるようになっているため、これらのトランザクションの機密性と完全性を確保することが重要です。 銀行、金融、電子商取引、電子政府、および医療は、暗号化技術を広く利用する多くの業界のほんの一部にすぎません。 ほとんどの人は、知らないうちに毎日暗号化を使用しています。 オンラインで購入するときはいつでも、注文と支払いの情報は、トランスポートレイヤー セキュリティ/セキュアソケットレイヤー（TLS/SSL） – 対称暗号化と非対称暗号化の両方を使用してオンライン接続を保護する、広く使用されている標準、によって暗号化されています。

暗号化は、情報の機密性を保護するために使用されます。 独自の知的財産（IP）などの機密データや、個人を特定できる情報（PII）、個人の健康情報（PHI）、クレジットカード番号を含む支払いデータ、および関連するその他の形式のデータを含むクライアントに関するデータを処理する組織に所属する個人は、多くの場合世界中のさまざまな法域でデータを保護する必要があります。 組織が日常業務を遂行するためにますます多くの機密データを保存するにつれて、ストレージリポジトリは攻撃の主な標的になっています。 その結果、通常、送信中のデータ（ネットワークを通過するデータ）と保存中のデータ（ストレージ内）の両方が、機密性が損なわれ、ビジネスが機能しなくなり、組織の評判が損なわれる可能性のある攻撃から保護するために、暗号化されています。

情報が現代のビジネスを推進するエンジンになるにつれて、データは重要なリソースになりました。 世界中の政府および業界の規制機関は、データの保護とデータが収集される個人のプライバシーを確保するための施行努力を強化しています。 新しい規制環境により、多くの業界の最高情報責任者（CIO）、最高情報セキュリティ責任者（CISO）、コンプライアンス担当者などの組織のリーダーにとって、暗号化が最優先事項になっています。 これにより、暗号化がますます多くのアプリケーションに組み込まれるようになりました。 暗号化はデータの機密性を下げるため、特定の規制の範囲を限定し、セキュリティを強化し、コストを削減することもできます。

暗号化は、経済的および評判に重大な損害を与える可能性があるデータ侵害から組織を保護するための重要なツールです。 ただし、暗号化の有効性は、関連する鍵がどの程度保護されているかによります。 暗号化を玄関ドアの鍵と考えると、鍵を適切に保護しない限り、所有物を効果的に保護することはできません。 ドアマットの下に鍵を置いたままにすると、ロックによる保護が無効になります。 暗号化鍵を保護しなければ、データを暗号化しても意味がありません – 鍵を見つければ、データにアクセスできます。 したがって、暗号鍵管理は、データ暗号化スキームの有効性を確保するために不可欠です。

暗号鍵の管理には、主に次の2つの側面があります： ライフサイクル管理とアクセス管理です。 ライフサイクル管理は、重要な暗号化鍵の生成、使用、保管、更新、アーカイブ、および破棄に関するものです。 アクセス管理により、認証および承認されたユーザーのみが鍵を使用してデータを暗号化および復号化できることが保証されます。 今日のユーザーには、人間とアプリケーション（マシン）の両方が含まれていることを強調することが重要です。 実際、通常は、人間よりも多くのマシンがデータにアクセスする必要があります。 ユーザーの認証と承認を有効にするには、その後の検証のために人とマシンのIDを発行する必要があります。 そのため、公開鍵基盤（PKI）が、包括的な鍵管理戦略の一部にもなります。

暗号化鍵の品質は、ブルートフォースによってどの程度解読できるかによって測定されます。 強力で簡単に推測されない必要があるパスワードと同様に、真の乱数ジェネレーターを使用して開発された鍵も強力である必要があります。 連邦情報処理標準（FIPS）は、承認されたハードウェアベースの乱数ジェネレーターの使用に関するガイダンスを提供します。 これらは通常、認定されたハードウェア セキュリティモジュール（HSM） - ライフサイクル全体で強力な鍵を生成および管理する専用プラットフォーム、によって提供されます。 HSMは従来、オンプレミスで展開されていましたが、クラウドへの移行により、HSMはサブスクリプションベースのサービスとしても利用できるようになりました。 クラウドベースのHSMは、専用のハードウェアプラットフォームをサービスとして提供し、顧客が独自の機器を購入して維持する必要なく、鍵を生成および管理できるようにします。 アプリケーションとデータをクラウドに移行する場合、企業は、拡大するコンピューティング エコシステム全体で強力なセキュリティ体制を確保するために、所有権、管理権、保有権のレベルがオンプレミスモデルからどのように変化するかを考える必要があります。

鍵は、データの機密性を保護するための暗号化に使用されるか、データの出所と完全性を保護するための署名に使用されるかにかかわらず、暗号化プロセスのセキュリティを支えます。 データの暗号化または署名に使用されるアルゴリズムがどれほど強力であっても、関連付けられた鍵が危険にさらされると、プロセスのセキュリティが無効になります。 このため、暗号鍵の保護は非常に重要です。

前に説明した鍵のランダムな性質により、ソフトウェア内の鍵の場所はある程度簡単に特定できます。 機密データを探している攻撃者は、鍵を取得すればデータを取得できることを知っているため、鍵を追跡します。 その結果ソフトウェアに保存されている鍵は、発見され取得され、暗号化されたデータのセキュリティが危険にさらされます。 このため、鍵を保護するために常にHSMを使用する必要があります。 HSMを信頼の基点として使用することは、サイバーセキュリティ業界のベストプラクティスであり、セキュリティの専門家や多くの主要なアプリケーションベンダーによって推奨されています。

鍵を保護するために考慮すべきもう1つの要因は、外部の攻撃者だけでなく、内部関係者からのアクセスです。 鍵を保護および管理するためにHSMを使用すると、デュアル コントロールを確立するメカニズムが提供されるため、単一の内部個人またはエンティティが鍵使用ポリシーを変更して、確立されたセキュリティメカニズムを効果的に覆すことはできません。 HSMへの変更に影響を与えるために、事前に決められた最小限の個人のセットが集まる必要があるクォーラムスキームと、その鍵管理機能により、強化されたレベルのセキュリティも提供されます。

鍵管理システムは、組織全体にデータセキュリティ ポリシーを適用するために必要な、基盤となる一元化された信頼の基点を提供します。 すべての鍵のライフサイクルを制御するだけでなく、すべてのユーザーアクセスのタイムスタンプ付きログを維持することで、監査とコンプライアンスに不可欠なツールを提供します。 サイバーセキュリティの脅威が増大し、政府や業界の規制が強化される中、鍵管理システムは不可欠になっています。

ますます多くの政府および業界のデータセキュリティ規制に準拠するために、強力な暗号化と効果的な暗号化鍵管理が求められています。 欧州連合の一般データ保護規則（GDPR）およびカリフォルニア州消費者プライバシー法（CCPA）などの市民プライバシー法、およびクレジットカード業界のデータセキュリティ基準（PCI DSS）などの業界規制は、特にコンプライアンスを促進するための認定製品の使用を含む、強力な暗号化と鍵管理の必要性を明確にしています。