暗号化とは、アルゴリズムを使用してデータを暗号文にエンコードするプロセスのことを指します。データにアクセスするユーザーやアプリケーションが、暗号文を復号するのに必要なデータ暗号化鍵を持っている場合に限り、この暗号文を再び意味のある文に戻すことができます。そのため、データが盗まれたり誤って共有されたりした場合でも、データ暗号化によって判読できない状態のため、元の情報は保護されます。
サイバー犯罪者が暗号化鍵を手に入れると、暗号化されているデータを元の暗号化されていない状態に戻すことができるため、データ暗号化戦略において、データ暗号化鍵の管理と保守がきわめて重要になります。暗号化鍵管理システムには、暗号化鍵の生成、交換、保存、使用、廃棄、取り替えのプロセスが含まれます。
多くのデータ暗号化システムは、本当の意味での鍵管理は行っていません。データ暗号化鍵をローカルに保存するだけで、ユーザーが鍵を直接操作することはありません。最も単純な実装の場合、鍵を保存することさえしません。必要に応じて、パスフレーズから鍵がその都度生成されます。もう少し複雑な(ただし、それでも比較的単純な)ケースでは、暗号化鍵は実際にデータと一緒に保存され、パスフレーズから生成される別の鍵セットによって保護されます。
このようなシステムとエンタープライズモデルは明確に異なっています。エンタープライズモデルの場合は、主体的に鍵を管理します。鍵管理では、柔軟性とセキュリティを強化するため、データと鍵を分離します。1つのデータに対して複数の鍵を持つことも、複数のファイルに対して1つの鍵を持つこともできます。また、鍵のバックアップや復元など、さまざまな選択肢があります。
※1https://securosis.com/assets/library/reports/Pragmatic-Key-Management.v.1.pdf