ソリューション

クラウド上の鍵管理(BYOK)ソリューション

クラウドサービスは便利なだけでなく、システム管理コストや運用負荷も軽減できるため、多くの企業で導入が進んでいます。
クラウド利用はメリットもありますが、情報漏えいなどセキュリティ面で不安や課題を抱え、
導入に踏み切れないでいる企業は少なくないのが現状です。

ソリューションの概要

 クラウド・オンプレミス環境に関わらず、セキュリティの観点では、『データを暗号化して保護すること』は非常に有効な手段です。万が一、悪意のある第三者に機密データが漏えい洩しても、暗号鍵がない限りそのデータを復号化することはできません。そのため、暗号化してデータを保護する場合、暗号鍵を安全に管理・運用することが最重要となります。 また、クラウドサービスにおいては、個人のデータはクラウド事業者のデータセンター内に保管され、データ所有者や企業のIT管理者は直接管理ができません。たとえデータが暗号化されていたとしても、クラウド事業者の誤操作や悪用される可能性も排除できません。

そこで、これらの課題を解決するソシューションがBYOKです。

BYOKは「Bring Your Own Key(以下、BYOK)」の略称です。 企業は独自の暗号鍵をクラウド環境へ持ち込み、クラウド上のデータを暗号化して保護できます。 クラウドサービスの利便性や柔軟性を損なわずに、セキュリティを強化し、暗号鍵の管理と運用が行えます。

nCipher_BYOK_1

ピンチアウトで拡大

<特徴>

自社のHSMでマスター鍵・テナント鍵を生成

自社のHSM - クラウド環境のHSM間で安全にマスター鍵を転送

クラウド環境で利用される暗号鍵はマスター鍵の配下で管理

クラウド環境で利用される暗号鍵はマスター鍵の認証が完了しないと利用できない

鍵の利用はクラウドインフラの機能で監視できる

 

FIPS 140-2レベル2およびレベル3の認定を受けたnCipher社nShield製品(HSM)を使うことで、より強力な暗号鍵が作成できます。BYOKにより、作成した暗号鍵をセキュアな方法でクラウド上のHSM(クラウド事業者所有)へ転送できます。製品の仕様上、HSMで保護された暗号鍵はFIPS140-2認証に準拠したセキュリティ境界(”セキュリティワールド”と呼ばれるセキュアな領域)内から外に出ることは絶対にありません。また、BYOKで転送された暗号鍵は、クラウド事業者でもその鍵の中身を見ることができないため、自社で暗号鍵のコントロールが可能となります。

 

nShield HSMはMicrosoft Azure、Amazon web Services(AWS)、Google Cloud Platform(GCP)等の主要なクラウドサービスに対応しています。

ユースケース(Microsoft Azure Key VaultへのBYOK)

オンプレミス環境のnShield HSMで作成した暗号鍵をMicrosoft Azureのクラウド(Azure Key Vault)上に転送します。転送した鍵はOffice365やAzure上のクラウドアプリケーション上で使用できます。

nCipher_BYOK_2

ピンチアウトで拡大

オンプレミス環境のメールシステムをOffice365へ移行する際、クラウド利用時の情報漏えいリスクは完全に排除され、セキュリティが担保できます。Azure Key VaultのログはAzure Information Protection (AIP)に統合されるアプリケーションとシームレスに連携しています。そのため、管理者はいつどの様な方法で使用されたか正確に知ることができ、可視性も高められます。必要に応じて鍵へのアクセスを取り消すことも可能です。

【参考】 鍵の制御レベル

Azure Key Vaultでは、以下の様に複数レベルで暗号鍵を制御することができます。希望する制御レベル、コストやシンプルさをトレードオフできます。

nCipher_BYOK_3

ピンチアウトで拡大

 

 

【参考】 nShield BYOK with Azure Cloudの実装に必要なもの

Azureサブスクリプション (Azure Key Vaultを利用するために必要)

Azure Key Vault Premium サービス (HSM保護キーを利用するために必要)

nShield HSM

オフラインのワークステーション(Windwos7以降のOS)

オンラインのワークステーション(Windwos7以降のOS)

USB ドライブ、または、16 MB 以上の空き領域を持つその他のポータブルストレージデバイス

 

まとめ

Shield BYOKソリューションでは、企業のセキュリティポリシーとコンプライアンスを厳守し、
安全なクラウド利用を実現するこができます。

より安全で一貫性のある鍵管理プラクティス

        ⇒クラウド内の機密データのセキュリティを強化

強力な鍵生成能力

        ⇒耐タンパ領域内でハードウェアベースの乱数を使って鍵を生成

鍵のコントロール掌握

        ⇒独自の鍵を安全な方法(Wrap/Unwrap)でクラウド上に転送

 

本ソリューション以外でも、セキュリティ対策について何かお悩みの方がいらっしゃいましたら

お気軽に東京エレクトロンデバイスまでご連絡ください。

 

 本ソリューションについての詳細・お問い合わせはこちら

nShield製品の詳細はこちら

 

記事に関する
お問い合わせはこちら

関連する情報

「HSM/鍵管理」に関連する製品・サービス