暗号化鍵管理とは何ですか?
暗号化とは、アルゴリズムを使用してデータを暗号文にエンコードするプロセスのことを指します。データにアクセスするユーザーやアプリケーションが、暗号文を復号するのに必要なデータ暗号化鍵を持っている場合に限り、この暗号文を再び意味のある文に戻すことができます。そのため、データが盗まれたり誤って共有されたりした場合でも、データ暗号化によって判読できない状態のため、元の情報は保護されます。
サイバー犯罪者が暗号化鍵を手に入れると、暗号化されているデータを元の暗号化されていない状態に戻すことができるため、データ暗号化戦略において、データ暗号化鍵の管理と保守がきわめて重要になります。暗号化鍵管理システムには、暗号化鍵の生成、交換、保存、使用、廃棄、取り替えのプロセスが含まれます。
「データ暗号化のための実用的な鍵管理」Securosisホワイトペーパーより※1:
多くのデータ暗号化システムは、本当の意味での鍵管理は行っていません。データ暗号化鍵をローカルに保存するだけで、ユーザーが鍵を直接操作することはありません。最も単純な実装の場合、鍵を保存することさえしません。必要に応じて、パスフレーズから鍵がその都度生成されます。もう少し複雑な(ただし、それでも比較的単純な)ケースでは、暗号化鍵は実際にデータと一緒に保存され、パスフレーズから生成される別の鍵セットによって保護されます。
このようなシステムとエンタープライズモデルは明確に異なっています。エンタープライズモデルの場合は、主体的に鍵を管理します。鍵管理では、柔軟性とセキュリティを強化するため、データと鍵を分離します。1つのデータに対して複数の鍵を持つことも、複数のファイルに対して1つの鍵を持つこともできます。また、鍵のバックアップや復元など、さまざまな選択肢があります。
ベストプラクティスは専用の外部鍵管理システムを使用すること - 4つのタイプ:
- HSMなどのハードウェア鍵管理アプライアンス:最高レベルの物理的セキュリティを実現します。
- 鍵管理仮想アプライアンス
- 鍵管理ソフトウェア:専用サーバ上や仮想/クラウドサーバ内で稼働します。
- 鍵管理SaaS(サービスとしてのソフトウェア)
※1https://securosis.com/assets/library/reports/Pragmatic-Key-Management.v.1.pdf
タレスで実現する暗号鍵管理
- HSM(ハードウェアセキュリティモジュール)
タレスはHSMの世界トップベンダーです。毎日700兆円を超える世界の銀行間金融取引や、政府機関、大手企業などの重要データの保護に採用されています。
- 外部暗号鍵管理ソリューション
専用のアプライアンス、仮想アプライアンス、クラウド暗号鍵管理サービスで暗号鍵を独立して管理することで、コンプライアンスを実現・証明することができます。
- 統合暗号管理プラットフォーム
クラウド、データベース、ストレージ、ファイルサーバー等、様々な場所に保管されている機密データの暗号化セキュリティを統合管理することで、セキュリティ管理の複雑性を排除し、管理負荷とコストの削減を実現します。
- クラウド暗号鍵管理サービス
分散する複数のクラウド上暗号化データの鍵を、クラウドサービスプロバイダーとは分離して管理し、コンプライアンスを実現します。クラウドサービスのため、初期導入、運用管理などの複雑性と手間を省け、高いROIを達成します。