エンタープライズ鍵管理の最適な戦略は何ですか?
暗号化はデータ保護のベストプラクティスであり、多くの場合、金融、健康、消費者データなど、特に機密性の高いデータを保護するために義務付けられている方法です。 暗号の仕組みとして、データを保護するためにアルゴリズムと鍵を使用するのが暗号化です。 鍵を紛失すると、データは失われます。 そのため、鍵は保護されつつも、データを必要とするビジネスプロセスを円滑に進めるために、承認されたエンティティが容易に利用できることが非常に重要です。
セキュリティのために組織が暗号化するデータが増えるにつれ、鍵の管理と保護が難しくなっています。 鍵を分散させると、明確なオーナーシップやスケーラブルな管理ポリシーがなくなるという事態が頻繁に発生します。 強力な鍵管理を行わないと、強力なアルゴリズムが提供するセキュリティが損なわれる可能性があります。
エンタープライズの鍵管理戦略は、データ漏洩の防止、効率化の実現、法規制遵守の簡素化、デジタル変革の実現に不可欠です。
鍵管理システムとは何ですか?
米国 米国標準技術局(NIST)は、Special Publication 800-57 において、「鍵管理システム」を定義し、暗号鍵管理のためのベストプラクティス勧告を提供しています。
NIST SP 800-57では、鍵管理システム(KMS)を次のように定義しています: 「暗号鍵とそのメタデータの管理(生成、配布、保管、バックアップ、アーカイブ、回復、使用、失効、破棄など)を行うためのシステム。 自動化された鍵管理システムは、鍵管理プロセスを監督し、自動化し、安全性を確保するために使用することができる。」
現在、多くのアプリケーションに暗号化が組み込まれていますが、多くの場合、暗号化は鍵の作成と保存に関する基本的な機能にしか準拠しておらず、NIST SP 800-57に詳述されている鍵管理のベストプラクティスのガイドラインを満たすことはできません。
暗号を使用するアプリケーションの増加に伴い、重要な暗号鍵とそれが保護するデータのセキュリティを確保するために、鍵管理システムが不可欠となっています。
暗号化鍵管理とは何ですか?
暗号鍵管理は、暗号鍵の生成から保管、保護、配布、更新、そして最終的には破棄に至るまで、暗号鍵のライフサイクル全体を扱います。 鍵は暗号化機構全体のセキュリティを支えるものであるため、最高レベルの保護、認証されたハードウェアセキュリティモジュール(HSM)が導入されていることが重要です。
HSM(Hardware Security Module)鍵管理とは何ですか?
暗号鍵のライフサイクルを安全に管理するための最適な方法は、ハードウェアセキュリティモジュールを使用することです。 HSM鍵管理は、ハードウェアセキュリティモジュール(HSM)と呼ばれる認証済み耐タンパーデバイスを使用し、暗号鍵のライフサイクル全体を安全に管理するものです。
オンプレミス、クラウドを問わず、HSMは専用の暗号化機能を提供し、鍵管理プロセスを管理するセキュリティポリシーの確立と実施を可能にします。 HSMの使用は、サイバーセキュリティの専門家や規制当局から、暗号鍵を効果的に管理するためのベストプラクティスとみなされています。
鍵管理サーバー(KMS)とは何ですか?
暗号化技術が商用アプリケーションに広く採用されたことで、暗号鍵の普及が進みました。 重要な鍵を管理し続けるために、さまざまなアプリケーションの暗号鍵を統一的に管理するKMIP(Key Management Interoperability Protocol)が開発されました。 KMIPに準拠したアプリケーション全体で鍵を管理するために、KMSは、これらの鍵を大規模に管理するメカニズムを提供します。
Entrust KeyControlは、KMIP対応の広範なクライアントアプリケーションにKMSを提供する仮想アプライアンスです。 KMSは、HSMと組み合わせることで、暗号鍵を大規模に管理することができます。
HSMとKMSの違いは何ですか?
HSMは、暗号鍵を安全に生成、保護、使用するためのハードウェア的な信頼性の根源を提供します。 KMSは、鍵のライフサイクル全体を大規模に、かつコンプライアンス基準に従って効率的に管理するために使用されます。
Entrust KeyControlを使用すると、企業はすべての暗号鍵の管理、そして鍵をローテーションする頻度と、それを使用するアプリケーションとの安全な共有方法の管理を簡単に実行できます。
暗号化鍵はすべて同じですか?
いいえ。 暗号化アルゴリズムに違いがあるように、暗号鍵にも様々な違いがあります。 鍵には対称型と非対称型があり、用途が異なり、鍵のサイズも異なります。
鍵の種類にかかわらず、高品質の鍵は常に真の乱数を使用すべきであり、FIPS-認定のハードウェア乱数発生器(通常、認定ハードウェアセキュリティモジュール(HSM)によって提供される機能)によって生成される必要があります。
クラウドでエンタープライズ鍵管理は可能ですか?
従来、堅牢な暗号鍵はHSMを使用してオンプレミスで開発されていましたが、組織が業務をクラウドに移行するのに伴い、専用のクラウドベースのHSMを使用してクラウドで鍵を生成することも可能になりました。
クラウドベースのHSMは、HSM as a Serviceとも呼ばれ、オンプレミスのHSMと同じ暗号機能を提供しますが、オンプレミスのアプライアンスを維持しホストする必要はありません。
アプリケーションとデータをクラウドに移行する場合、企業は所有権、管理権、保有権のレベルがオンプレミスモデルからどのように変化するかを考える必要があります。