クラウドセキュリティ

BYOKをご存じでしょうか?

これまで様々な業界やお客様へHSM(Hardware Security Module)の提案をしていますが、最近はIoTデバイスや車載セキュリティでHSMの引き合いが多く、その次に多く話に挙がることが「BYOK」です。改めてBYOKのお話できたらなと思いブログにまとめました。

HSM(Hardware Security Module) の製品担当業務をしている中で、これまで様々な業界やお客様へHSMの提案をしてきました。ここ最近はIoTデバイスや車載セキュリティでHSMの引き合いが多いですが、その次に多く話に挙がるのが「BYOK」という印象です。

詳細は以下ソリューションで確認できますが、改めて本ブログでBYOKのお話できたらなと思いました。

クラウド上の鍵管理(BYOK)ソリューション

BYOKはBring Your Own Keyの略称で、自社で作成した暗号鍵をクラウド上に持ち込んで利用する形態を言います。クラウド事業者が提供するデータ保護としての暗号化オプションとしては以下3つのオプションが存在します。BYOKは3つ目です。

1) HSMを使用しない(HSMで保護された暗号鍵を使用しない)
2) クラウド事業者が保有するクラウド上のHSMを使用する
3) お客様が自社HSMで作成した鍵をクラウドへ持ち込んで使用する

 

上記1と2のケースでは、極端な話、クラウド事業者がクラウド上のデータにアクセスできてしまうため、誤操作や悪用されるリスクがあります。このBYOKを利用することで、ユーザはパブリッククラウド上のデータを保護するだけでなく、データ暗号化に使用される暗号鍵を自身でコントロールできます。

環境構築は簡単です。まずnShield HSMのセットアップ後、クラウド事業者からラップ用の鍵を入手します。nShield HSMでクラウド上で使う鍵を生成し、ラップ用の鍵を使って暗号化、その暗号化された鍵をクラウド上へ転送します。
クラウド上へ転送された鍵は、クラウド事業者が持っているラップ鍵で復号化され、クラウド事業者の保有するHSMで使用で管理されます。

クラウド事業者(AWS、Azure、GCM等)によって若干手順は異なりますが、大きな流れは同じです。

 

なお、このBYOKは、実は当時のEntrust社(旧nCipher)とMicrosoft社が考案した言葉です。言わば、Entrust社はBYOKのパイオニアです。

ここ数年でクラウドシフトが加速してするなか、HSM+BYOKのソリューションでの
クラウド環境のセキュリティを高めてはどうでしょうか?

この記事に関連する製品・サービス

この記事に関連する記事