Bring your own key(BYOK)とは、クラウド・サービス・プロバイダー(CSP)のお客様が暗号鍵を自ら生成し、管理する暗号化鍵管理のアプローチです。クラウド・コンピューティング環境では、BYOKにより、組織はデータ・セキュリティー、可視性、コンプライアンス要件に対する制御性を高められます。
多くの場合、組織のクラウドでホストされる資産のデータ保護に用いられる暗号鍵は、クラウド・サービス・プロバイダーが管理します。しかし、BYOKモデルでは、組織が暗号鍵を自ら管理するため、許可なしに外部の第三者がクラウド・データへアクセスすることはできません。
暗号鍵は平文を判読できない暗号文に変換し、機密データを不正アクセスから保護します。また、暗号文を復号し、許可された利用者が読み取れる形に戻すこともできます。
BYOKは、クラウド・プロバイダーに依存せず、暗号鍵が組織のセキュリティー・ポリシーに沿って管理され、NISTのガイドラインやFIPS 140-2といった業界標準に適合することを支援します。
IBM Cloud、Microsoft Azure、Amazon Web Services(AWS)、Google Cloudなどの主要クラウド・プロバイダーの多くは、お客様にBYOKを提供しています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
お客様は自社環境でマスター鍵を生成します。多くの場合、セキュリティーを強化するためにオンプレミスのハードウェア・セキュリティー・モジュール(HSM)を使用します。HSMは、暗号鍵を安全に生成し、保管する改ざん耐性デバイスです。
クラウド・プロバイダーから提供される公開鍵を使用して、お客様はマスター鍵を暗号化し、転送中に保護します。その後、マスター鍵を安全なアプリケーション・プログラミング・インターフェース(API)を通じて、クラウド・プロバイダーの鍵管理サービスにインポートします。鍵は通常、クラウド・プロバイダーのハードウェア・セキュリティー・モジュールに保管されます。
クラウド・プロバイダーのKMSが、一時的で1回限りのデータ暗号鍵(DEK)を生成します。この鍵を使用してお客様のデータを暗号化します。次に、お客様のマスター鍵を使用してDEKを暗号化します。結果として、暗号化されたDEK(EDEK)が生成されます。EDEKは暗号化されたデータと一緒に保管され、DEKはメモリーから破棄されます。
お客様がデータにアクセスする必要がある場合は、このプロセスが逆に実行されます。クラウド・プロバイダーが暗号化されたデータとEDEKを取得します。クラウド・プロバイダーのKMSが、お客様のマスター鍵を使用してEDEKを復号し、DEKを取得します。その後、DEKを使用してデータを復号し、お客様がデータにアクセスできるようにします。
顧客のトランザクション履歴、口座情報などの機密レコードをパブリッククラウドに移行したい金融サービス企業を考えてみましょう。しかし、Payment Card Industry Data Security Standard(PCI DSS)などの厳格な業界規制により、暗号鍵の管理を第三者に委ねることはできません。
BYOKを使用すると、データはクラウド・プロバイダーのインフラストラクチャー上に保管されていても、自社の暗号鍵を使用してデータを厳格に管理できます。攻撃者がデータの復号に必要なマスター鍵へアクセスできないため、データ侵害のリスクを最小限に抑えられます。また、顧客データを保護する鍵を組織が完全に管理していることを規制当局に示すこともできます。
データ暗号化は、機密情報、特にクラウドで保管および処理される情報を保護するための主要な手段です。IBM®データ侵害のコストに関する調査によれば、暗号化を使用する組織は、データ侵害による財務的影響をUSD 200,000以上削減できます。
BYOKは、クラウド上の機密データを保護するために使用する暗号鍵を組織が直接管理できるようにすることで、データ保護をさらに強化します。この制御性により、クラウド・プロバイダーや第三者がデータを復号することを防ぎ、暗号化データへの不正アクセスのリスクを低減します。
多くの企業は、Salesforceなどのサービスとしてのソフトウェア(SaaS)プラットフォームに保管される機密顧客データを保護する目的でBYOKを使用しています。
医療保険の相互運用性と説明責任に関する法律(HIPAA)、一般データ保護規則(GDPR)、PCI DSSなどの規制では、データ・アクセスと暗号化の実践について厳格な管理が求められる場合が多くあります。自社の鍵を使用することで、組織はこれらの標準への準拠を支援し、鍵へのアクセスと利用に関する監査証跡を維持できます。
医療機関は患者記録の暗号化にBYOKを使用することが多く、許可された当事者のみがデータを復号できることを担保することで、HIPAAへの準拠を示せます。
マルチクラウドやハイブリッドクラウド環境では、BYOKにより、プラットフォームをまたいで鍵管理を一元化できます。これにより、各クラウド・サービス・プロバイダーの個別の鍵システムに依存することなく、一貫性と制御性を維持できます。
例えば、AWS、Azure、Google Cloudを使用する企業は、すべてのプラットフォームの暗号鍵を中央で管理でき、複雑さを軽減し、セキュリティー体制を改善できます。
SaaS企業やその他のベンダーにとって、BYOKを提供することは、データ・プライバシーと所有権を重視していることを顧客に示すシグナルになります。このシグナルは、エンタープライズ顧客や規制の厳しい業界において、透明性がセキュリティーの重要な要素となるため、特に重要です。
BYOKモデルではお客様がマスター鍵を所有するため、そのライフサイクル管理全般を担う責任があります。このライフサイクルには、鍵の安全性と完全性を維持するための継続的なタスクが含まれます。組織はこれらのタスクを自動化することが多く、運用負荷を軽減するとともに、人的ミスのリスクを最小限に抑えます。
組織は、不正アクセス、露出、盗難のリスクを低減するために、暗号鍵を定期的に新しい鍵に置き換えます。鍵の使用期間を制限することで、クラウドセキュリティーの向上に役立ちます。
マスター鍵を安全にバックアップすることは、元の鍵が失われたり破損したりした場合のデータ損失を防ぐために不可欠です。有効なマスター鍵がなければ、暗号化データに永続的にアクセスできなくなる可能性があります。
監査ログを通じて鍵の使用状況を監視することで、不正なデータ・アクセスや不正利用を検知しやすくなります。また、鍵管理ポリシーの監査は、GDPRやHIPAAなどの規制要件への準拠を確認するうえでも役立ちます。
明確で文書化された計画を用意することで、鍵の誤削除、ハードウェア障害、サイバー攻撃などの状況に備えられます。クラウド・プロバイダーはマスター鍵を復旧できないため、組織側で備えておく必要があります。
Bring your own key(BYOK)とhold your own key(HYOK)は、いずれも暗号化に対する制御性を高めますが、鍵の保管場所と管理方法が異なります。
BYOKでは組織が暗号鍵を作成して所有しますが、クラウド・サービスで使用するために、鍵をクラウド・プロバイダーの鍵管理システムにアップロードします。
HYOKでは組織が暗号鍵を自社環境に完全に保持し、クラウド・プロバイダーと共有しません。この構成は、より高い制御性とプライバシーを提供する一方で、管理がより複雑になり、すべてのクラウド・サービスがサポートしているわけではありません。
BYOKは制御性と利便性の両立を実現し、HYOKは最大限の制御性を提供する一方で、より大きな責任を伴います。