Bring Your Own Key (BYOK) によるセキュリティ課題の解決

公開: 2023-09-27

クラウド コンピューティングには多くの利点がありますが、データはクラウド サービス プロバイダー (CSP) に残り、この情報の所有者の直接の制御下にないため、セキュリティが欠点でした。 これは、このデータ保護方法を選択する組織にとって、暗号化キーのセキュリティが最も重要であることを意味します。

BYOK の定義: Bring Your Own Key とは何ですか?

Bring Your Own Key (BYOK) は本質的に、企業が制御と管理を維持しながらデータを暗号化できるようにする管理システムです。 ただし、一部の BYOK プログラムは暗号化キーを CSP サーバーにアップロードします。 このような場合、会社は再びキーの管理を失います。

この「Bring Your Own Key 」の課題に対するベスト プラクティス ソリューションは、組織が安全性の高いハードウェア セキュリティ モジュール (HSM) を通じてより堅牢なキーを生成し、クラウドへのキーの安全なエクスポートを管理することです。これにより、キー管理が向上します。プロセス。

Bring Your Own Key (BYOK) の開梱: どのように機能しますか?

Bring Your Own Key (BYOK) を使用すると、企業は、データの保存に使用するクラウド プロバイダーに関係なく、自社のデータの暗号化資格情報の制御を維持できます。 これを実現するには、次の手順を実行する必要があります。

  • クラウド プロバイダーは、クラウド プラットフォームのセキュリティ モジュールのキー マネージャーを使用して独自のデータ暗号化キー (DEK) を生成します。
  • 組織はサードパーティを利用して、これらの DEK の暗号化キーを生成します。 サードパーティによって作成された CSP の DEK の暗号化に使用されるキーは、キー暗号化キー (KEK) と呼ばれます。
  • KEK は、KEK の所有権と制御を維持する組織のメンバーのみが DEK のロックを解除して CSP 内に含まれるデータにアクセスできるようにするために、DEK を「ラップ」します。 場合によっては、このプロセスは「キーの囲い込み」と呼ばれます。
  • KEK を作成し、キーのパッケージ化を提供できるサードパーティを検討する場合、通常、組織には次の 2 つの選択肢があります。
    • ハードウェア セキュリティ モジュール (HSM) : これらは高価で安全性が高く、特殊なハードウェア コンポーネントであり、クラウドと通信するために追加のツールやテクノロジが必要になる場合があります。
    • ソフトウェアベースのキー管理システム (KMS) : これらのアプリは標準サーバー上にあります。 ソフトウェア ベースの KMS を採用する利点は、適応性が高く、管理が容易になり、一般に経費が削減されることです。
  • DEK は暗号化および復号化時にユーザーが利用できますが、キーは使用後にキャッシュから消去されます。 キーは長期保管場所には決して保管されないことに注意してください。 代わりに、DEK または EDEK が暗号化され、暗号化されたデータとともに保持されます。

簡単に言うと、BYOK は、パブリック クラウド サービス ユーザーが独自のエコシステム内で暗号キーを作成し、選択したクラウド サーバー上で簡単にアクセスできるようにこれらのキーの制御を維持するのに役立ちます。

BYOK はセキュリティ上の課題をどのように解決しますか?

セキュリティ管理者や IT 意思決定者が BYOK に関心を持ち、クラウドへの投資を行う際にも BYOK を求める理由は数多くあります。

1. データプライバシー法の遵守

2017 年から 2018 年にかけて、50 か国がプライバシーに関する新しい法律を制定しました。 EU の一般データ保護規則 (GDPR) は、企業が消費者の個人を特定できる情報 (PII) を安全かつ機密に保つことを期待しています。 PII を SaaS プロバイダーなどの外部ベンダーに転送する場合、これらの組織はセキュリティについても責任を負います。 BYOK は、データ アクセスの可視性とそれを取り消す機能を提供します。

2. 拡張された制御により、クラウドへの文化的移行が容易になります

企業がクラウド上にデータを保存し始める場合、セキュリティが最大の懸念事項となります。 BYOK を使用すると、企業は機密情報の管理を取り戻すことができます。 これにより、ロックとキーのシステムを 2 つの部分に分離できるため、企業は独自の暗号化キー プログラムを使用し、独立した権限を保持できるようになります。

これにより、組織は求めていた安心感を得ることができます (許可された担当者のみが機密データにアクセスできるという安心感が得られます。これは、企業が初めてクラウドを導入する場合に特に重要です。また、企業は、暗号化キーを個人やシステムから没収することもできます)。アクセスできないはずです。

3. 異種クラウド環境へのより適切な準備

複数のプラットフォーム (データセンター、クラウド、マルチクラウドなど) にわたって多くの暗号化キーを管理することは、困難で時間がかかる場合があります。 組織は、BYOK 暗号化モデルを使用して、単一のプラットフォームからすべての暗号化資格情報を処理できます。

暗号化キーの作成、ローテーション、保存のための 1 つのインターフェイスを提供することで、キー管理を一元化します。 組織が複数のクラウド (マルチクラウド) にデータを配置している場合、さまざまなクラウドの管理を 1 人の管理者のもとにまとめることができます。

4. 別のセキュリティ層を追加する

これは、独自のキーを持つことの最も明白な利点です。 BYOK は、暗号化されたデータを関連付けられたキーから分離することにより、機密情報に対する追加のセキュリティ層を作成します。 BYOK を使用すると、組織は暗号化キー管理ツールを使用して暗号化キーを保存し、組織のみがアクセスできるようにすることで、データのセキュリティを強化できます。

5. 技術的な専門知識があれば、コストを節約できます

BYOK を使用すると、暗号化認証情報の社内管理が可能になります。 これらを監督することで、組織はサードパーティ ベンダーからのキー管理サービスへの支払いを停止する可能性があります。 ただし、これにより定期的なサブスクリプション料金やライセンス料金が発生する可能性が排除されます。

また、BYOK 暗号化は、ハッカーやクラウド管理者を装った攻撃者などの悪意のある攻撃者がデータを理解できないように設計されています。 これにより、潜在的に機密情報の開示に関連するコストを間接的に削減できます。 これにより、コンプライアンスに関する法外な罰則や収益の損失が回避されます。

最上位の BYOK の例: Zoom と Salesforce

BYOK は差別化要因ではなく、急速に業界標準になりつつあります。 すべての主要なクラウドプロバイダーに加えて、SaaS 企業もこの流れに乗っています。 実際、ほとんどの組織は、暗号化に CSP に依存することを選択した場合でも、独自のキーを持ち込むオプションを高く評価しています。

Zoom は、AWS Key Management Service (AWS KMS) の顧客向けに予約された顧客管理のキー製品を導入しました。

これは、銀行、金融、医療分野の規制ニーズを満たすことを目的としています。 医療提供者は HIPAA 仕様に準拠する必要があり、金融​​サービスは NY DFS、グラム・リーチ・ブライリー法、およびその他の規制に準拠する必要があります。

Salesforce は、ネイティブに統合されたセキュリティ サービスのスイートである Salesforce Shield の一部として BYOK 機能も提供します。 これにより、ユーザーは Salesforce から独立して独自の暗号化キーを作成できるようになり、プラットフォームの安全性と機密性が大幅に高まります。

組織は、OpenSSL などのオープンソース暗号化ライブラリ、現在の HSM インフラストラクチャ、または AWS KMS などのサードパーティ ソリューションを使用できます。

最後に: BYOK は防水ですか?

BYOK は、特に転送中のデータのデータ損失のリスクを軽減しますが、そのセキュリティは、キーを保護する企業の能力に依存します。

暗号化キーを紛失すると、データが永久に失われる可能性があります。 このリスクを軽減するには、キーの生成とローテーション後にキーをバックアップし、トリガーなしでキーを削除しないようにし、徹底的なキーのライフサイクル管理を確立してください。 さらに、キーのローテーション ルール、保存、失効手順、およびアクセス ポリシーを含む管理計画を立てると有益です。

最後に、管理コストやサポート コストを考慮すると、BYOK に関連するコストも無視できません。 BYOK の導入は簡単ではありません。 したがって、組織は追加のチームや HSM に投資しなければならず、より多くの費用が発生する可能性があります。

つまり、BYOK は特効薬ではありませんが、包括的なセキュリティ戦略に必要な要素です。 API やファイル転送などのすべてのデータの送受信経路を、さまざまな特権アクセス基準とともに検査します。 これは、認証やゼロトラストなどの業界全体のベスト プラクティスにも当てはまります。

次に、データのエンドツーエンドの保護に関するホワイトペーパーを読んで、セキュリティ戦略を構築してください。