一般的な FAQ
ここでは、IBM Cloud® Hyper Protect Crypto Services に関する一般的な疑問とそれに対する回答を掲載しています。
IBM Cloud Hyper Protect Crypto Services とは何ですか?
IBM Cloud Hyper Protect Crypto Services は、以下の機能を提供する専用の鍵管理サービスであり、クラウドの ハードウェア・セキュリティー・モジュール(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. サービスです。
- FIPS 140-2 レベル 4 認定の HSM で Keep Your Own Key (KYOK: 自分の鍵の保持) を行えるので、鍵階層全体をお客様が完全に管理できます。お客様の鍵にアクセスできる IBM Cloud 管理者は 1 人もいません。
- 標準化された API を使用して鍵を作成、インポート、ローテート、および管理するためのシングル・テナントの鍵管理システム。
- IBM Cloud の他のデータ・サービスやストレージ・サービスとのシームレスな統合により、保存データをお客様管理の鍵で暗号化できます。
- 暗号操作用の PKCS #11 ライブラリーおよび Enterprise PKCS #11 (EP11) ライブラリーを、クラウドの最高レベルのセキュリティーを実現した Hyper Protect Crypto Services HSM で利用できます。
Unified Key Orchestrator とは何ですか?
Unified Key Orchestrator は、エンタープライズ向けのハイブリッド・マルチクラウド環境全体にわたる暗号キーの単一制御点 (SPOC) をクラウド・ネイティブでのみ提供します。
- Unified Key Orchestrator では、オンプレミス環境を含むハイブリッド・マルチクラウド環境全体から Keep Your Own Key 機能と Bring Your Own Key 機能の両方を使用できます。
- Unified Key Orchestrator は、IBM Cloud上のマルチクラウド環境のすべてのキーを管理、オーケストレーションします。
鍵管理サービスとは何ですか?
Hyper Protect Crypto Services は、鍵を作成、インポート、ローテート、および管理するためのシングル・テナントの鍵管理サービスを提供します。 暗号鍵を削除すると、その鍵で保護されていたデータは、確実に取得不能になります。 このサービスは、クラウド業界最高レベルの保護を提供する FIPS 140-2 レベル 4 認定 HSM をベースに構築されています。Hyper Protect Crypto Services は、アプリケーション作成や IBM Cloud データ・サービスおよびインフラストラクチャー・サービスの利用に、IBM Key Protect for IBM Cloud と同じキー管理サービス API を提供します。
ハードウェア・セキュリティー・モジュールとは何ですか?
ハードウェア・セキュリティー・モジュール (HSM) は、機密データのために、耐タンパー性のあるハードウェア・デバイスで安全に鍵の保管と暗号操作を行えるようにするものです。 HSM では、ハードウェアという暗号境界から外に出すことなく、鍵の素材を使用します。
クラウド HSM とは何ですか?
クラウド HSM は独自の暗号キーを管理し、IBM Cloud で暗号操作を実行するためのクラウド・ベースのハードウェア・セキュリティー・モジュールです。Hyper Protect Crypto Services は、クラウド業界最高レベルの保護を提供する FIPS 140-2 レベル 4 認定 HSM にビルドされています。 Keep Your Own Key (KYOK) のサポートにより、お客様は マスター鍵An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. を構成し、クラウド HSM の所有権を取得することができます。 お客様が、鍵階層全体を完全に管理し、鍵階層全体に対する完全な権限を持ちます。IBM Cloud 管理者は誰 1 人としてお客様の鍵にアクセスできません。
Hyper Protect Crypto Services のシングル・テナントのクラウド・サービスは、どのように提供されますか?
Hyper Protect Crypto Services では、どの暗号装置も、お客様一人の専用のソフトウェア・スタックと専用の HSM ドメインを提供するので、シングル・テナントのクラウド・サービスです。 お客様は、お客様のデータのみを処理する専用のサービス・スタックと対話することを保証されます。 サービス・アーキテクチャーについて詳しくは、Hyper Protect Crypto Services の仕組みを参照してください。
IBM Cloud におけるユーザーの責任と Hyper Protect Crypto Services の責任は何ですか?
Hyper Protect Crypto Services は、IBM Cloud の Platform-as-aService です。IBM Cloud は、サーバー、ネットワーク、ストレージ、仮想化、ミドルウェア、ランタイムの管理を担当するため、良好なパフォーマンスと高可用性が確保されます。 お客様は、データとアプリケーションを管理します。特に、Hyper Protect Crypto Services に保管された暗号鍵と、暗号操作で鍵や暗号機能を使用するユーザー・アプリケーションを管理します。
このサービスと IBM Cloud HSM の違いは何ですか?
IBM には、Hyper Protect Crypto Services とは異なる IaaS IBM Cloud HSM サービスがあります。IBM Cloud HSM は FIPS 140-2 レベル 3 に準拠しています。Hyper Protect Crypto Services は、キーのロードを除く HSM の管理に特別なスキルを必要としないマネージド HSM サービスを提供します。Hyper Protect Crypto Services は FIPS 140-2 レベル 4 認定ハードウェアに基づいて構築され、ユーザーがマスター・キーを制御できる HSM を提供する唯一のクラウド・サービスです。
Hyper Protect Crypto Services と Key Protect の違いは何ですか?
IBM Key Protect for IBM Cloud は、Bring Your Own Key (BYOK) 機能をサポートする共有マルチテナント・キー管理サービスです。 このサービスは、IBM によって管理されている FIPS 140-2 レベル 3 認定の HSM 上に構築されています。
Hyper Protect Crypto Services は、お客様が暗号鍵を完全に管理して暗号操作を実行することを可能にするシングル・テナントの鍵管理サービスおよびクラウド HSM です。 このサービスは、FIPS 140-2 レベル 4 認定の HSM 上に構築され、Keep Your Own Key (KYOK) 機能をサポートしています。 所有権を取得すると、IBM Cloud 管理者からのアクセスがなくても、キー階層全体を完全制御できます。Hyper Protect Crypto Services は、デジタル署名や Secure Sockets Layer (SSL) オフロードなどの暗号操作のために Public-Key Cryptography Standards #11 (PKCS #11) などの業界標準もサポートしています。
Keep Your Own Key は Bring Your Own Key とどのように違いますか?
Bring Your Own Key (BYOK) は、データを暗号化するために独自の鍵を使用するための方法です。 BYOK を提供する鍵管理サービスは、通常、マルチテナント・サービスです。 これらのサービスを使用する場合は、オンプレミスのハードウェア・セキュリティー・モジュール (HSM) から暗号鍵をインポートして、それらの鍵を管理することができます。
Keep Your Own Key (KYOK) を使用する場合は、IBM が実現する業界最高レベルの管理を、お客様の独自の暗号鍵に対して実施することができます。 KYOK には、BYOK の機能に加えて、IBM がお客様の鍵にアクセスできないという技術的な保証があります。 KYOK を使用する場合は、マスター鍵を含めた鍵階層全体を、お客様が排他的に制御することになります。
次の表に、KYOK と BYOK の相違点を詳述します。
| クラウド鍵管理機能 | BYOK | KYOK |
|---|---|---|
| 暗号キーのライフサイクルの管理 | ある | ある |
| 他のクラウド・サービスとの統合 | ある | ある |
| オンプレミスの HSM からの独自の鍵の持ち込み | ある | ある |
| 運用面の保証 - クラウド・サービス・プロバイダーは鍵にアクセスできない。 | ある | ある |
| 技術的な保証 - IBM は鍵にアクセスできない。 | いいえ | ある |
| シングル・テナントの専用鍵管理サービス。 | いいえ | ある |
| マスター鍵の排他制御。 | いいえ | ある |
| 最高レベルのセキュリティー - FIPS 140-2 レベル 4 HSM。 | いいえ | ある |
| スマート・カードを使用したマスター鍵の管理。 | いいえ | ある |
| 鍵セレモニーの実行。 | いいえ | ある |
IBM Cloud Hyper Protect Crypto Services でできることは何ですか?
IBM Cloud Hyper Protect Crypto Services は、鍵管理サービスや暗号操作に使用できます。
Hyper Protect Crypto Services は、IBM Cloud のデータ・サービス、ストレージ・サービス、VMware® vSphere® および VSAN と統合して、data-at-restの暗号化を提供できます。 このマネージドのクラウド HSM は、Enterprise Public-Key Cryptography Standards (PKCS) #11 などの業界標準をサポートしています。 デジタル署名や検証などの暗号操作を Enterprise PKCS#11 (EP11 API) を介してアプリケーションに組み込むことができます。 EP11 ライブラリーには、業界標準の PKCS #11 アプリケーション・プログラミング・インターフェース (API) によく似たインターフェースが用意されています。
Hyper Protect Crypto Services は gRPC などのフレームワークを利用して、リモート・アプリケーション・アクセスを可能にします。gRPC は最新のオープン・ソースのハイパフォーマンス・リモート・プロシージャー・コール (RPC) フレームワークで、ロード・バランシング、トレース、ヘルス・チェック、認証のためにデータ・センター内でも、データ・センター間でもサービスを接続できます。 gRPC を使用してリモートから EP11 API を呼び出すことにより、アプリケーションから Hyper Protect Crypto Services にアクセスできます。
詳しくは、Hyper Protect Crypto Services のユース・ケースを参照してください。
Hyper Protect Crypto Services が自社に適しているかどうかを判断するにはどうしたら良いですか?
クラウドでのデータ・セキュリティーとコンプライアンスに懸念がある場合は、クラウドで利用可能な HSM でデータ暗号化と 署名鍵An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. を完全に制御し続けることができます。 この HSM を支えているのは、クラウド・データとデジタル資産を保護するための業界最高レベルのセキュリティーです。 セキュリティーと法規制遵守のサポートにより、お客様のデータは暗号化されて、特権アクセスが制御されます。 IBM Cloud 管理者であっても鍵にアクセスすることはできません。
Hyper Protect Crypto Services を使用すると、法規制の遵守とデータ・セキュリティーの強化が可能です。 フル・マネージドの専用の鍵管理システムと、Keep Your Own Key をサポートするクラウド HSM サービスで、暗号鍵を使用してデータを保護できます。 クラウド・データ暗号化用の独自の鍵を、専用のクラウド HSM で保護した状態で保持することができます。 規制の厳しいアプリケーションや機密データを扱うアプリケーションを実行している企業には、このソリューションが適しています。
主な機能は以下のとおりです。
- マスター鍵を含む鍵階層全体の完全な管理。
- 改ざん不能なハードウェア・デバイスによる機密データの保管。
- 業界最高レベルのセキュリティーによるクラウド・データとデジタル資産の保護。
- 特権アクセスの脅威に対する組み込み保護機能によるデータ漏洩リスクの軽減。
- データ暗号化と特権アクセス制御による法規制遵守。
- 鍵階層全体をお客様が完全に管理することを保証する Keep Your Own Key (KYOK)。
Hyper Protect Crypto Services はどのように機能しますか?
Hyper Protect Crypto Services を使用する場合、作成するサービス・インスタンスは、1 つのリージョンの複数のアベイラビリティー・ゾーンに置かれた複数の暗号装置から構成されます。 サービス・インスタンスは、 Secure Service Container(SSC)上に構築されています。これにより、分離されたコンテナー・ランタイム環境が保証され、エンタープライズ・レベルのセキュリティーと堅固さが提供されます。 サービス・インスタンス内の複数の暗号装置は自動的に同期され、複数のアベイラビリティー・ゾーン間で負荷分散されます。 アベイラビリティー・ゾーンの 1 つがアクセス不能になっても、サービス・インスタンス内の他の暗号装置を代わりに使用できます。
暗号装置とは、ハードウェア・セキュリティー・モジュールと、そのハードウェア・セキュリティー・モジュールの暗号処理専用の対応するソフトウェア・スタックに相当する単一の装置です。 暗号鍵は、暗号装置内で生成され、標準の RESTful API を使用して管理および使用できる専用の鍵ストアに保管されます。 Hyper Protect Crypto Services では、CLI または管理ユーティリティー・アプリケーションにより、マスター鍵をロードして独自の管理者を割り当てて、暗号装置をお客様自身で管理できます。 これにより、お客様が暗号鍵を排他的に管理できます。
FIPS 140-2 レベル 4 の HSM をベースに構築されている Hyper Protect Crypto Services は、暗号操作のために Enterprise PKCS #11 をサポートしています。 gRPC API 呼び出しを使用して関数にアクセスできます。
Hyper Protect Crypto Services で使用している暗号カードは何ですか?
Virtual Private Cloud (VPC) インフラストラクチャーに基づく リージョン でインスタンスを作成する場合、 Hyper Protect Crypto Services は、Crypto Express 7S (CEX7S) とも呼ばれる IBM 4769 暗号カードを使用します。 VPC 以外の他の地域でインスタンスを作成する場合、 Hyper Protect Crypto Services は、Crypto Express 6S (CEX6S) とも呼ばれる IBM 4768 暗号カードを使用します。 IBM CEX6S と IBM CEX7S の両方が FIPS 140-2 レベル 4 で認定されています。これは、商用暗号デバイスで達成可能な最高レベルの認定です。 以下のサイトで証明書を確認できます。
Hyper Protect Crypto Services はどの IBM リージョンで使用できますか?
現在、ダラスとフランクフルトで Hyper Protect Crypto Services を使用できます。 サポートされているリージョンの最新リストについては、リージョンとロケーションを参照してください。
ワークロードがあるデータ・センターでは Hyper Protect Crypto Services を使用できません。 それでもこのサービスにサブスクライブできますか?
はい。 Hyper Protect Crypto Services には、キー管理とクラウド HSM 機能のために世界中からリモートでアクセスできます。