Bring Your Own Key（BYOK）とは

BYOKは、パブリッククラウドサービスのユーザに、独自の環境で暗号鍵を生成し、それらの鍵の制御を維持しながら、必要に応じて、任意のクラウドで使用できるようにする機能を提供します。

CSPは、堅牢な暗号化を使用してクラウド内のクライアントのデータを保護します。データを暗号化する暗号鍵（テナント鍵）は、クラウドストレージのセキュリティを支えます。クラウドユーザがBYOKを使用して生成したマスター鍵は、基本的に、ロックドボックスを作成して、CSPのデータセンター内のテナントの鍵を保護します。これにより、クラウドユーザはテナント鍵を制御できるようになり、その鍵が承認された目的でのみ使用され、最終的にはクラウド内のデータのセキュリティが保護されます。

アマゾンウェブサービス（AWS）、Google Compute Engine、Microsoft Azure、Salesforceなどの大手CSPはすべて、Entrustの高保証のCloud Integration Option Packソリューションで実現されるBYOKをサポートしています。

Hold Your Own Key（HYOK）は、Entrustハードウェア・セキュリティ・モジュールを使用して、クラウドユーザが自身のセキュリティ境界内で最も機密性の高い自身のデータを管理するためにMicrosoftが提供するオプションです。MicrosoftはHYOKを二重鍵暗号化（DKE）に置き換えています。この新しいソリューションをEntrustもサポートしており、クラウドユーザは保護、制御、保証のレベルが向上したハイブリッド環境を使用できます。

Entrust KeyControl（旧称はHyTrust）は、暗号化されたワークロードに対応したユニバーサル鍵の管理システムであり、クラウドユーザがパブリッククラウド全体で暗号鍵の制御を自動化・拡張できるようにします。 KeyControlは、BYOKとネイティブのアマゾンウェブサービス（AWS）の鍵に対応しており、マスター鍵の完全な制御を可能にします。 複数のパブリッククラウドサービスにわたる計画的なサポートにより、クラウドユーザがクラウド導入戦略を拡張する際に、鍵が常に保護されます。

暗号化されたデータのセキュリティは、暗号鍵に与えられた保護と同じくらい優れています。 BYOKは、単一のクラウドサービスプロバイダー、ハイブリッド、マルチクラウド戦略のいずれを導入する場合でも、クラウドユーザに必要な制御と保証を提供します。 BYOKとハードウェア・セキュリティ・モジュールの使用により、クラウドユーザはベンダーロックインに関連する問題を回避できます。これにより、あるCSPから別のCSPへの移行が困難になる可能性があります。 ハードウェア・セキュリティ・モジュールは、重要な暗号鍵をソフトウェアではなく耐タンパー性がある場所に配置しており、ハッカーに見つけられないよう特別に設計されています。 組織が自信を持ってクラウドへの完全な移行を目指す中で、BYOKはnShield as a Serviceを使用して資本支出なく導入することが可能で、オンプレミスソリューションと同レベルのセキュリティが保証されます。