IBM Cloud Key Protect Dedicatedのご紹介:高保証クラウド・ワークロード向けに構築
設計による暗号化分離とお客様所有の制御。
データ主権、監査可能性、地域コンプライアンスに関するプレッシャーが高まる中、セキュリティー・リーダーは、暗号化キーは自分だけのものであり、クラウド・プロバイダーや外部関係者が使用できないという絶対的な確信を必要としています。
IBM Cloud Key Protect Dedicatedは、シングルテナント、Keep Your Own Keyモデル、専用HSMドメインを使用したIBMのクラウドネイティブなキー管理サービスの独立した最初のデプロイメント、および厳格な顧客所有の信頼モデルを提供します。
Key Protect Dedicatedは、専用のHSMと顧客が制御するアクセス制御を使用して、クラウド・オペレーターからキーを暗号化して分離することで、高い技術的保証を提供します。この設計により、職務の分離が確保され、暗号化キーにアクセスまたは操作できるのが顧客のみであることが保証されます。
IBM Cloud Key Protect Dedicatedは、最も機密性の高いクラウド・ワークロードに真の鍵の所有権と分離を実現し、規制コンプライアンスに準拠します。大規模な保証を実現するための仕組みは以下のとおりです。
- 専用設計、大規模なクラウドネイティブ。Key Protect Dedicatedは、信頼の基点の分離とテナントごとの境界用の専用HSMドメインを備えた完全分離のスタックを提供し、金融サービス、医療、公共部門、その他の高保証環境に最適です。
- 独自のキーの保持(KYOK)= 合計されたキーの所有権。マスター/ルート・キーの完全なコントロールを維持し、BYOKを補完することで、厳格な主権、監査、および居住要件を自信を持って満たすことができます。
- Intel TDXを使用した機密コンテナ。Key Protectは、Red Hat OpenShift機密コンテナで暗号化サービスを実行するように設計されており、Intel TDXの安全なエンクレーブを活用して、保存中や転送中だけでなく使用中のデータを保護します。
- HSMに裏打ちされた保証。このサービスは、FIPS 140‑3 Level 4 HSM(NIST認定に基づく)を使用して、物理的および環境的脅威から重要な資材を保護し、厳しい企業要件および規制要件をサポートします。
- ハイブリッド・ファーストのオペレーション。統一されたクラウドネイティブの制御プレーンとAPIモデルは、テナント・モデルやベンダー(Utimaco、Thales、Marvellなど)間で動作し、ロックインを減らし、モダナイゼーションを簡素化するように設計されています。
- 組み込みのオペレーショナル・エクセレンスKubernetesベースのスケール、強力なテレメトリ、DevSecOpsオートメーションにより、SLAとオブザーバビリティーを最優先しつつ、レジリエンスとオンボーディングを向上させることができます。
規制の対象となるお客様で見られる最も一般的なパターンを調べました。これらをプログラムやリファレンス・アーキテクチャーの出発点として使用してください。
1) 金融サービス:高リスクのデータを分離し、地域の規則に準拠します。
銀行や決済プロバイダーは、断片化された主要な管理、インサイダー/インフラストラクチャーの脅威、およびDORA、C5、ISMAPなどの地域的な義務に直面しています。シングルテナントのKYOKと専用のHSMドメインを使用すると、決済、取引、分析のパイプライン全体でガバナンスを一元化し、レガシーとクラウドを橋渡ししながら、FS CloudとPCIの要件に準拠させることができます。
その結果、管理の強化、よりクリーンな監査、より安全なモダナイゼーションが実現しました。
2)ヘルスケア:厳格な所有権と監査によるPHIの保護
プロバイダーは、EHR、画像処理、遠隔医療、臨床AIにわたる一貫した暗号化に加えて、HIPAA/HITRUSTレビュー用の正確なログを必要としています。Key Protect Dedicatedは、リージョンごとのデプロイメント、シングルテナントのキー分離、および統合されたロギングを提供するため、誰が何にアクセスできるかを常に把握し、証明できます。
その結果、コンプライアンスの簡素化、監査の摩擦の軽減、デジタル・ヘルス・サービスの迅速な展開が実現します。
3) 管理された生成AI:モデル、データ、アーティファクトの制御キー
生成AIのパイプラインはデータレイク、ベクトル・ストア、モデル・リポジトリーにまたがり、多くの場合、一貫性のない暗号化が使用され、単一の所有者が存在しません。HSMでサポートされた専用キーを使用して、watsonx.aiおよびwatsonx.data資産全体にBYOK/KYOKを適用して、リネージュとレジデンシーを強化し、事前承認されたRAG体制を加速します。
その結果、セキュリティーへの引き継ぎが減り、より明確な証拠を備えた管理されたAIが実現しました。
4) IBM PowerVS(AIXおよびLinux):コア・システムの暗号化を統合する
AIX、DB2、SAP、バックアップは明確な所有者がないため、しばしば手法を混同します。シングルテナントのKYOKと専用のHSMドメインで、安全なLPAR移行、SAPのクラウドへの移動、DR/バックアップオペレーションを可能にし、必要なリージョンにキーを保持します。
結果として、検証可能な制御とガバナンスを備えたPowerVSの迅速な導入が実現しました。
5) クラウドネイティブ・アプリケーション:プラットフォームとインフラストラクチャーを安全に運用
Key Protect Dedicatedを使用して、データベース、オブジェクト・ストレージ、コンテナの暗号化を標準化します。キーの削除やマスター・キーの式などの機密性の高いアクションには、二重の承認ガードレールを使用します。結果:構成ミスが減り、監査がよりクリーンになり、立ち上げ時間が数週間から数日に短縮されます。
Key Protect Dedicatedを使用すると、組織には、キー、境界、信頼の管理を手放すことなく、クラウドで迅速に行動できる自由がもたらされます。