メインコンテンツまでスキップ
画像
紫色の六角形のパターン

Bring Your Own Key(BYOK)とは

クラウドコンピューティングには多くの利点がありますが、データは物理的にクラウドサービスプロバイダー(CSP)に存在し、データの所有者が直接制御できないため、セキュリティが主な懸念点になっています。 暗号化はクラウド内のデータを保護し、その機密性と整合性を確保するために、暗号化鍵を保護することが最も重要です。 独自の鍵の持ち込み(BYOK)を使用すると、企業は、改ざん防止のハードウェアセキュリティモジュール(HSM)で強力な鍵を生成し、その鍵をクラウドに安全にエクスポートすることにより、鍵管理プラクティスを強化し、暗号化鍵の制御と管理を維持できます。

Amazon Web ServicesへのBYOK

Entrust KeyControlは、単一または複数のクラウドプラットフォームにBYOK(Bring Your Own Key)機能を提供し、Amazon Web Servicesでの暗号化されたワークロードの柔軟性、スケーラビリティ、および完全な制御を提供します。 以下のAmazon AWS鍵管理サービス統合のビデオを見て、BYOKモデルの動作を確認してください。

シークレットの管理とは?

シークレット管理とは、さまざまなアプリケーションのパスワード、API、鍵、トークンなど、資格情報を保護するために使用される必要なデジタル認証を指します。 暗号化によってアプリケーションシークレッを保護することで、セキュリティが損なわれることを恐れることなく、特権アクセス資格情報を安全にナビゲートできます。

シークレット管理システムとは?

機密データへのアクセスを制御するために、組織はユーザー資格情報、つまりソフトウェアとユーザーの間の秘密コードを必要とします。 すべてのシステムと情報を保護するには、適切なシークレット管理システムを展開することが重要です。 当局は、顧客や従業員が出入りするとき、または単に役割を変更するとき、およびビジネスプロセスとポリシーが進化するときに、資格情報を作成および取り消すことができなければなりません。 さらに、プライバシー規制やその他のセキュリティ義務の高まりにより、組織はオンライン消費者と内部特権ユーザーの身元を検証する能力を実証する必要性が高まっています。

シークレットの管理に関連する課題

  • シークレット管理システムの制御を取得できる攻撃者は、内部者となる資格情報を発行する可能性があり、検出されないシステムを侵害する特権を持っている可能性があります。
  • シークレット管理プロセスが危険にさらされると、資格情報を再発行する必要が生じ、これは費用と時間のかかるプロセスになる可能性があります。
  • 資格情報の検証率は大きく変動する可能性があり、シークレット管理システムのパフォーマンス特性を容易に上回り、ビジネスの継続性を危うくする可能性があります。
  • セキュリティと信頼モデルに関するビジネスアプリケーション所有者の期待は高まっており、コンプライアンスの主張を危険にさらす可能性のある弱いリンクとして資格情報管理を公開する可能性があります。

ハードウェア・セキュリティ・モジュール(HSM)

純粋にソフトウェアベースのシステムにシークレット管理プラットフォームを展開することは可能ですが、このアプローチは本質的に安全性が低くなります。 認定されたHSMの暗号化境界の外側で処理されるトークン署名および暗号化キーは、トークン署名および配布プロセスを侵害する可能性のある攻撃に対してはるかに脆弱です。 HSMは、貴重な暗号化資料を保護し、FIPS承認のハードウェア保護を提供する唯一の実証済みで監査可能な方法です。

HSMにより、企業は次のことが可能になります。

  • 組織の秘密の資格情報を暗号化する鍵を保護する、堅牢な信頼の基点を確立します
  • 慎重に設計された暗号化境界内でトークン署名鍵を保護し、権限のあるエンティティのみが鍵を使用できるようにするために、権限分散を強制する堅牢なアクセス制御メカニズムを採用します。
  • 高度な鍵管理、ストレージ、および冗長性機能を使用して、可用性を確保しましょう
  • さまざまなデバイスや場所からリソースにアクセスするためのますます厳しくなる企業の要件をサポートするために、高性能を提供します。

非対称鍵または非対称な鍵の暗号化とは

非対称暗号化では、リンクされたキーのペアを使用してデータを保護します。 1つの鍵である秘密鍵は、その所有者によって秘密にされ、署名や復号化に使用されます。 もう1つの公開鍵は公開されており、秘密鍵によって署名されたメッセージを確認したり、秘密鍵の所有者に対してドキュメントを暗号化したりするために誰でも使用できます。

対称鍵とは

暗号化では、対称鍵は暗号化、復号化、およびメッセージ認証に使用されます。 「秘密鍵暗号化」とも呼ばれるこの方法は、情報を復号化するには、暗号化に使用されたものと同じ鍵を持っている必要があることを意味します。 鍵は、実際には、個人情報リンクを維持するために使用できる当事者間の共有秘密を表します。 鍵は、2つ以上の関係者が使用できます。 また、一方の当事者だけが使用することもできます(たとえば、バックアップを暗号化する目的で)。

対称暗号化の利点の1つは、非対称暗号化よりも著しく高速であることです。 対称暗号化のユースケースのよく知られた例は、トークン化です。

鍵のトランスポートとは

鍵の転送(一方の当事者が秘密鍵情報を選択する場合)中に、暗号化された秘密鍵情報が送信者から受信者に転送されます。鍵転送スキームは、公開鍵技術、または公開鍵と対称鍵技術の組み合わせ(ハイブリッド)のいずれかを使用します。秘密鍵情報を送信する当事者を送信側と呼び、もう一方の当事者を受信側と呼びます。

鍵共有とは

鍵共有中に、派生した秘密鍵情報は、両当事者による貢献の結果です。鍵共有スキームでは、対称鍵または非対称鍵(公開鍵)のいずれかの手法を使用できます。鍵共有スキームを開始する当事者はイニシエーターと呼ばれ、もう一方の当事者はレスポンダーと呼ばれます。

鍵確立とは

秘密鍵情報は、鍵確立スキームを使用することによって、つまり、鍵共有スキームまたは鍵転送スキームのいずれかを使用することによって、当事者間で電子的に確立することができます。