Bring Your Own Key(BYOK)とは

BYOK(Bring Your Own Key)は、パブリッククラウドユーザがクラウドで使用される暗号鍵の制御を維持してデータを保護できるようにするために、EntrustとMicrosoftによって初めて開拓された革新的な概念です。パブリッククラウドサービスの導入が爆発的に増加すると、BYOKはすべての主要なクラウドサービスでサポートされるようになりました。BYOKを使用すると、パブリッククラウドユーザは、独自の高品質のマスター鍵をオンプレミスでローカルに生成し、その鍵をクラウドサービスプロバイダー(CSP)に安全に転送して、マルチクラウド展開全体でデータを保護できます。高品質の鍵を生成・管理するため、BYOKではFIPS認定とコモンクライテリア認定を受けたハードウェア・セキュリティ・モジュール(HSM)を使用します。このハードウェア・セキュリティ・モジュールはクラウドユーザがオンプレミスで保持するものでも、サービスとしてのハードウェア・セキュリティ・モジュールをリースしても構いません。EntrustはBYOKに対応するために、nShieldハードウェア・セキュリティ・モジュールnShield as a Serviceを提供しています。

BYOKを使用すると、クラウドに移行する組織は次のことを実現できます。

  • 柔軟性、利便性、費用対効果
  • 機密データとアプリケーションへの強力な制御
  • クラウドでの鍵の使用状況に関する完全な可視性
  • 最高レベルのデータセキュリティ、整合性、信頼

BYOKの役割とは?

BYOKは、パブリッククラウドサービスのユーザに、独自の環境で暗号鍵を生成し、それらの鍵の制御を維持しながら、必要に応じて、任意のクラウドで使用できるようにする機能を提供します。

BYOKの仕組みとは?

CSPは、堅牢な暗号化を使用してクラウド内のクライアントのデータを保護します。データを暗号化する暗号鍵(テナント鍵)は、クラウドストレージのセキュリティを支えます。クラウドユーザがBYOKを使用して生成したマスター鍵は、基本的に、ロックドボックスを作成して、CSPのデータセンター内のテナントの鍵を保護します。これにより、クラウドユーザはテナント鍵を制御できるようになり、その鍵が承認された目的でのみ使用され、最終的にはクラウド内のデータのセキュリティが保護されます。

BYOKをサポートするCSPの例は?

アマゾンウェブサービス(AWS)、Google Compute Engine、Microsoft Azure、Salesforceなどの大手CSPはすべて、Entrustの高保証のCloud Integration Option Packソリューションで実現されるBYOKをサポートしています。

BYOKとHold Your Own Key(HYOK)との違いは?

Hold Your Own Key(HYOK)は、Entrustハードウェア・セキュリティ・モジュールを使用して、クラウドユーザが自身のセキュリティ境界内で最も機密性の高い自身のデータを管理するためにMicrosoftが提供するオプションです。MicrosoftはHYOKを二重鍵暗号化(DKE)に置き換えています。この新しいソリューションをEntrustもサポートしており、クラウドユーザは保護、制御、保証のレベルが向上したハイブリッド環境を使用できます。

Entrustでは他のBYOKソリューションを提供していますか?

Entrust KeyControl(旧称はHyTrust)は、暗号化されたワークロードに対応したユニバーサル鍵の管理システムであり、クラウドユーザがパブリッククラウド全体で暗号鍵の制御を自動化・拡張できるようにします。 KeyControlは、BYOKとネイティブのアマゾンウェブサービス(AWS)鍵に対応しており、マスター鍵の完全な制御を可能にします。複数のパブリッククラウドサービスにわたる計画的なサポートにより、クラウドユーザがクラウド導入戦略を拡張する際に、鍵が常に保護されます。

BYOKが必要な理由とは?

暗号化されたデータのセキュリティは、暗号鍵に与えられた保護と同じくらい優れています。BYOKは、単一のクラウドサービスプロバイダー、ハイブリッド、マルチクラウド戦略のいずれを導入する場合でも、クラウドユーザに必要な制御と保証を提供します。BYOKとハードウェア・セキュリティ・モジュールの使用により、クラウドユーザはベンダーロックインに関連する問題を回避できます。これにより、あるCSPから別のCSPへの移行が困難になる可能性があります。ハードウェア・セキュリティ・モジュールは、重要な暗号鍵をソフトウェアではなく耐タンパー性がある場所に配置しており、ハッカーに見つけられないよう特別に設計されています。組織が自信を持ってクラウドへの完全な移行を目指す中で、BYOKはnShield as a Serviceを使用して資本支出なく導入することが可能で、オンプレミスソリューションと同レベルのセキュリティが保証されます。