クラウド上の鍵管理（BYOK）ソリューション

＜特徴＞

自社のHSMでマスター鍵・テナント鍵を生成

自社のHSM – クラウド環境のHSM間で安全にマスター鍵を転送

クラウド環境で利用される暗号鍵はマスター鍵の配下で管理

クラウド環境で利用される暗号鍵はマスター鍵の認証が完了しないと利用できない

鍵の利用はクラウドインフラの機能で監視できる

FIPS 140-2レベル2およびレベル3の認定を受けたnCipher社nShield製品（HSM）を使うことで、より強力な暗号鍵が作成できます。BYOKにより、作成した暗号鍵をセキュアな方法でクラウド上のHSM（クラウド事業者所有）へ転送できます。製品の仕様上、HSMで保護された暗号鍵はFIPS140-2認証に準拠したセキュリティ境界（”セキュリティワールド”と呼ばれるセキュアな領域）内から外に出ることは絶対にありません。また、BYOKで転送された暗号鍵は、クラウド事業者でもその鍵の中身を見ることができないため、自社で暗号鍵のコントロールが可能となります。

nShield HSMはMicrosoft Azure、Amazon web Services(AWS)、Google Cloud Platform(GCP)等の主要なクラウドサービスに対応しています。

【参考】　鍵の制御レベル

Azure Key Vaultでは、以下の様に複数レベルで暗号鍵を制御することができます。希望する制御レベル、コストやシンプルさをトレードオフできます。

【参考】　nShield BYOK with Azure Cloudの実装に必要なもの

Azureサブスクリプション　（Azure Key Vaultを利用するために必要）

Azure Key Vault Premium サービス　（HSM保護キーを利用するために必要）

nShield HSM

オフラインのワークステーション（Windwos7以降のOS）

オンラインのワークステーション（Windwos7以降のOS）

USB ドライブ、または、16 MB 以上の空き領域を持つその他のポータブルストレージデバイス

Shield BYOKソリューションでは、企業のセキュリティポリシーとコンプライアンスを厳守し、
安全なクラウド利用を実現するこができます。

より安全で一貫性のある鍵管理プラクティス

        ⇒クラウド内の機密データのセキュリティを強化

強力な鍵生成能力

        ⇒耐タンパ領域内でハードウェアベースの乱数を使って鍵を生成

鍵のコントロール掌握

        ⇒独自の鍵を安全な方法（Wrap/Unwrap）でクラウド上に転送

本ソリューション以外でも、セキュリティ対策について何かお悩みの方がいらっしゃいましたら

お気軽に東京エレクトロンデバイスまでご連絡ください。

 本ソリューションについての詳細・お問い合わせはこちら

nShield製品の詳細はこちら

記事に関する
お問い合わせはこちら