データの暗号化

IBM Cloud® Object Storage には、データを暗号化するためのオプションがいくつか用意されています。

デフォルトでは、IBM Cloud Object Storage に保管されるすべてのオブジェクトは、ランダムに生成される鍵と AONT (all-or-nothing-transform) を使用して暗号化されます。 保存されたデータはこのデフォルトの暗号化モデルによって安全に保護されますが、ワークロードによっては、使用されるデータ暗号鍵を完全に制御する必要があります。 独自の暗号鍵 ( お客様提供の鍵によるサーバー・サイド暗号化(SSE-C) と呼ばれる) を提供することにより、オブジェクト単位で鍵を手動で管理できます。

Object Storage では、IBM Cloud® の鍵管理サービス (IBM® Key Protect や Hyper Protect Crypto Services など) との統合機能を使用するという選択肢も用意されています。 IBM Cloud Object Storage バケットに IBM Key Protect と IBM Hyper Protect Crypto Services のどちらを使用するのかをセキュリティー要件に応じて決定できます。

IBM® Key Protect for IBM Cloud® は、 IBM Cloud® サービス全体でアプリの暗号化鍵をプロビジョンするのに役立ちます。 鍵のライフサイクルを管理する際に、情報の盗難を防止する FIPS 140-2 レベル 3 認証のクラウド・ベースのハードウェア・セキュリティー・モジュール (HSM) によって鍵が保護されていることを認識していると役立つことがあります。

Hyper Protect Crypto Services は、単一テナントの専用 HSM であり、お客様が管理します。 このサービスは、FIPS 140-2 レベル 4 認定を受けたハードウェア上に構築されており、クラウド・プロバイダーが提供するサービスとしては業界最高クラスのサービスです。

IBM® Key Protect for IBM Cloud® および Hyper Protect Crypto Services の製品資料で、これら 2 つのサービスの詳しい説明を参照してください。