BYOK(Bring your own key)て何でしょうか?


BYOK(Bring your own key)は、パブリッククラウドのユーザがデータの安全性を保つためにクラウドで使用される暗号鍵を管理できるようにするために、当初EntrustとMicrosoftによって開拓された革新的な概念です。パブリッククラウドサービスの採用が爆発的に増加したため、現在では主要なクラウドサービスすべてでBYOKがサポートされています。BYOKを使用すると、パブリッククラウド・ユーザは高品質のマスターキーをオンプレミスで生成し、そのキーをクラウドサービスプロバイダー(CSP)に安全に転送して、マルチクラウド展開でデータを保護することができます。高品質の鍵を生成および管理するために、BYOKはFIPSおよびコモンクライテリア認証のハードウェア・セキュリティ・モジュール(HSM)を使用し、クラウド・ユーザはこれをオンプレミスで維持するか、サービスとしてリースします。Entrustは、BYOKをサポートするためにnShield HSMとnShield as a Serviceを提供しています。

https://www.climb.co.jp/soft/hytrust/

BYOKは、企業がクラウド移行を達成することできるようにします。

●柔軟性、利便性、費用対効果
●機密データおよびアプリケーションの強力な管理
●クラウド上の鍵の使用状況を完全に把握することが可能
●最高レベルのデータセキュリティ、インテグリティ、信頼性

BYOKの役割は何か?
BYOKは、パブリッククラウドサービスの利用者が、自身の環境で暗号鍵を生成し、その鍵のコントロールを維持しながら、必要に応じて選択したクラウドで使用できるようにする機能を提供します。

BYOKの仕組みは?
CSPは、堅牢な暗号化を用いて、クラウド上の顧客のデータを保護します。データを暗号化する暗号鍵(テナント鍵)が、クラウドストレージのセキュリティを支えているのです。BYOKを使用してクラウド・ユーザが生成したマスターキーは、実質的にCSPのデータ・センター内にテナント・キーを保護するためのロック・ボックスを作成します。これにより、クラウド・ユーザはテナント鍵を管理し、許可された目的のみに使用できるようになり、最終的にクラウド上のデータのセキュリティが保護されます。

BYOKをサポートしているCSPの例は?
Amazon Web Services (AWS)、Google Compute Engine、Microsoft Azure、Salesforceなどの主要なCSPはすべて、Entrustの高保証クラウド統合オプションパックソリューションで実現されるBYOKをサポートしています。

BYOKとHYOK(Hold Your Own Key)はどう違うのか?
Hold Your Own Key (HYOK) は、Entrust HSMS を使用してクラウド・ユーザの最も重要なデータを独自のセキュリティ境界で管理するために Microsoft が提供するオプションです。マイクロソフトはHYOKに代わり、Entrustがサポートする新しいソリューションであるDouble Key Encryption(DKE)を採用し、クラウド・ユーザがより高いレベルの保護、制御、保証を備えたハイブリッド環境を使用できるようにします。

Entrustは他のBYOKソリューションを提供していいますか?
Entrust KeyControl(旧HyTrust)は、暗号化ワークロードのためのユニバーサルな鍵管理システムで、クラウドユーザがパブリッククラウド全体で暗号鍵の管理を自動化および拡張できるようにするものです。KeyControlはAmazon Web Services(AWS)とMicrosoft Azureのネイティブキーをサポートしており、マスターキーの完全な制御を可能にします。複数のパブリッククラウドサービスに対応する予定であり、クラウドユーザのクラウド導入戦略の拡大に合わせて、鍵の安全性を常に確保することができます。
詳細な操作方法については、こちらのブログで紹介しています。

なぜBYOKが必要なのか?
暗号化されたデータのセキュリティは、暗号鍵に与えられる保護と同じだけ優れています。BYOKは、単一のクラウドサービスプロバイダー、ハイブリッド、またはマルチクラウド戦略のいずれを展開する場合でも、クラウドユーザが必要とする制御と保証を提供します。BYOKとHSMの使用により、クラウド・ユーザは、1つのCSPから別のCSPへの移行を困難にするベンダー・ロックインに関連する問題を回避することができます。HSMは、ハッカーが重要な暗号鍵を見つけるのを阻止するために、ソフトウェアではなく、耐改ざん性のある場所に配置するよう特別に設計されています。企業が安心してクラウドに完全移行するために、BYOKはnShield as a Serviceを使用して、設備投資なしで、オンプレミスのソリューションと同じレベルのセキュリティと保証で展開することが可能です。

関連トピックス:
カテゴリー: セキュリティ, クラウド・仮想インフラ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL