ルート鍵のローテーション-標準プラン

Hyper Protect Crypto Services インスタンスで管理されるルート鍵は、オンデマンドで、またはローテーション・ポリシーを設定することでローテートできます。元の鍵素材を廃棄し、ルート鍵の新しい暗号鍵素材を生成すると、鍵のローテーションが行われます。

鍵を定期的にローテートすることで、業界標準と暗号のベスト・プラクティスを満たすことができます。以下の表では、鍵のローテーションの主な利点について説明します。

表 1. 鍵のローテーションの利点について説明します。
メリット	説明
鍵の暗号期間の管理	鍵のローテーションは、情報が単一の鍵によって保護される期間を制限します。定期的な間隔でルート鍵をローテートすることで、鍵の暗号期間も短くなります。暗号鍵の存続期間が長くなるほど、セキュリティー・ブリーチの可能性が高まります。
インシデントの軽減	組織でセキュリティー問題が検出された場合、即時に鍵をローテートすることで、鍵漏えいに伴うコストを軽減または削減できます。

鍵のローテーションは、NIST Special Publication 800-57 の『Recommendation for Key Management』で説明されています。詳しくは、 NIST SP 800-57 Pt. 1 Rev. 5 を参照してください。

ルート鍵のローテーションのオプションの比較

Hyper Protect Crypto Services では、ルート鍵のローテートをオンデマンドで行うことも、ローテーション・ポリシーを設定して行うこともできます。無効になったルート鍵素材を追跡する必要はありません。

鍵のローテーション・ポリシーの設定: Hyper Protect Crypto Services を使用して暗号鍵のローテーションを単純化するには、このサービス内で生成する鍵に対するローテーション・ポリシーを有効にします。ルート鍵を作成した後、UI または API を使用して鍵のローテーション・ポリシーを管理できます。現行のセキュリティー・ニーズに基づいて、1 カ月から 12 カ月の範囲で鍵の自動ローテーション間隔を選択します。指定したローテーション間隔に基づいて鍵をローテートするときになったら、鍵は新しい鍵素材で Hyper Protect Crypto Services によって自動的に置き換えられます。
オンデマンドでの鍵のローテート: セキュリティー管理者として、鍵のローテーション頻度をもっと制御したい場合があります。鍵の自動ローテーション・ポリシーを設定したくない場合は、既存の鍵を置換するための新しい鍵を手動で作成し、新しい鍵を参照するようにアプリケーションを更新することができます。このプロセスを単純化するため、Hyper Protect Crypto Services を使用して、オンデマンドで鍵をローテートできます。このシナリオでは、各ローテーション要求で Hyper Protect Crypto Services がユーザーに代わって鍵を作成して置換します。鍵のメタデータおよび鍵 ID はそのまま保持されます。

ルート鍵のローテーションの仕組み

ルート鍵のローテーションは、鍵素材の状態をアクティブ から非アクティブ にセキュアに遷移させることで機能します。非アクティブにされた (または無効にされた) 鍵素材を置き換えるために、新しい鍵素材がアクティブ 状態に移行し、暗号操作に使用可能になります。さまざまな鍵の状態について詳しくは、暗号鍵のライフサイクルのモニターを参照してください。

Hyper Protect Crypto Services を使用したルート鍵のローテート

Hyper Protect Crypto Services を使用したルート鍵のローテートを準備するときには、以下の考慮事項に留意してください。

Hyper Protect Crypto Services 内で生成されたルート鍵のローテート: Hyper Protect Crypto Services 内で生成されたルート鍵は、鍵のローテーション・ポリシーを設定するか、オンデマンドで鍵をローテートすることによって、Hyper Protect Crypto Services を使用してローテートできます。ルート鍵のメタデータ (鍵 ID など) は、鍵をローテートしても変更されません。
サービスに取り込んだルート鍵のローテート: ユーザーがサービスにインポートしたものが元であるルート鍵をローテートするには、鍵の新しい鍵素材を生成して提供する必要があります。ローテーション要求の一環として新しい鍵素材を供給することによって、Hyper Protect Crypto Services を使用して、インポートされたルート鍵をオンデマンドでローテートできます。ルート鍵のメタデータ (鍵 ID など) は、鍵をローテートしても変更されません。インポートされた鍵をローテートするためには新しい鍵素材を提供する必要があるため、鍵素材がインポートされたものであるルート鍵には自動ローテーション・ポリシーは使用できません。
無効にされたルート鍵素材の管理: ルート鍵をローテートすると、新しい鍵素材が Hyper Protect Crypto Services によって作成されます。このサービスは、古い鍵素材を無効にし、ルート鍵が削除されるまで無効にしたものを保持します。エンベロープ暗号化にルート鍵を使用する場合、鍵と関連付けられた最新の鍵素材のみが Hyper Protect Crypto Services によって使用されます。無効にされた鍵素材は鍵を保護するためには使用できなくなりますが、アンラップ操作には使用可能なままです。無効にされた鍵素材が DEK のアンラップに使用されていることを Hyper Protect Crypto Services が検出した場合、このサービスは最新のルート鍵素材に基づいている新しくラップされた DEK を提供します。
IBM Cloud データ・サービスに対するルート鍵のローテーションの有効化: ルート鍵のローテーションに関するこれらのオプションを IBM Cloud 上のデータ・サービスで使用可能にするには、データ・サービスが Hyper Protect Crypto Services と統合されている必要があります。 IBM Cloud データ・サービスの資料を参照するか、または、統合されたサービスのリストで詳細を確認してください。

Hyper Protect Crypto Services でルート鍵をローテートしても、追加料金は発生しません。追加コストなしで、廃止した鍵素材を使用して、ラップ済みデータ暗号鍵 (WDEK) を引き続きアンラップできます。料金オプションについて詳しくは、Hyper Protect Crypto Services カタログ・ページを参照してください。

ルート鍵のローテーション・プロセスの概要

Hyper Protect Crypto Services キー管理サービス API が舞台裏でキーのローテーション・プロセスを駆動しています。

次の図は、鍵のローテーション機能の状況図を示しています。

この図は、鍵のローテーションのコンテキスト・ビューを示しています。 — 図 1. キーのローテーション

ローテーション要求が行われるごとに、Hyper Protect Crypto Services は新しい鍵素材をルート鍵に関連付けます。

この図は、ルート鍵スタックをマイクロ・ビューで示しています。 — 図 2. ルート鍵のスタック

Hyper Protect Crypto Services キー管理サービス API を使用してルートキーをローテーションする方法については、キーのローテーションを参照してください。

ルート鍵のローテーション後のデータの再ラップ

ルート鍵のローテーションが完了すると、新しいルート鍵素材が、エンベロープ暗号化によるデータ暗号化鍵 (DEK) の保護に使用できるようになります。廃止されたルート鍵素材は「非アクティブ化」状態に移行します。この状態は、最新のルート鍵によってまだ保護されていない古い DEK をアンラップしてアクセスするためにのみ使用できます。

エンベロープ暗号化ワークフローを保護するには、ルート鍵をローテートした後で DEK を再ラップすることで、保存中データが最新のルート鍵で保護されるようにします。あるいは、無効にされたルート鍵素材を DEK のアンラップに使用していることが Hyper Protect Crypto Services で検出されると、その DEK は自動的に再暗号化され、最新のルート鍵を使用してラップされたデータ暗号化鍵 (WDEK) が返されます。この新しい WDEK を保管し、最新のルート鍵素材で DEK が保護されている将来のアンラップ操作で使用します。

Hyper Protect Crypto Services キー管理サービス API を使用してデータ暗号キーを再ラップする方法については、キーの再ラップを参照してください。

ルート鍵のローテーションの頻度

Hyper Protect Crypto Services でルート鍵を生成した後に、そのローテーションの頻度を決定します。鍵のローテートは、従業員の変更やプロセスの誤動作が生じたために必要となることもあれば、組織の内部鍵有効期限ポリシーに従うために必要になることもあります。

暗号のベスト・プラクティスに準拠するために、例えば 30 日ごとなど、定期的に鍵をローテートしてください。

表 2. Hyper Protect Crypto Services で鍵をローテーションするためのローテーション頻度のオプション
ローテーション・タイプ	頻度	説明
ポリシー・ベースのルート鍵のローテーション	1 カ月ごとから12 カ月ごと	現在のセキュリティーのニーズに基づいて、1 カ月から 12 カ月の範囲で鍵のローテーション間隔を選択します。鍵のローテーション・ポリシーを設定すると、鍵の初期作成日に基づいてクロックが即時に開始されます。例えば、`2019/02/01` に作成した鍵に月次ローテーション・ポリシーを設定した場合、Hyper Protect Crypto Services はその鍵を `2019/03/01` に自動的にローテートします。
オンデマンドでのルート鍵のローテーション	1 時間当たり最大 1 回のローテーション	鍵をオンデマンドでローテートする場合、Hyper Protect Crypto Services では、各ルート鍵について、1 時間に 1 回のローテーションが許可されます。

次の作業

Hyper Protect Crypto Services を使用して個別の鍵に自動ローテーション・ポリシーを設定する方法について詳しくは、ローテーション・ポリシーの設定を参照してください。
ルート鍵を手動でローテートすることについて詳しくは、オンデマンドでの鍵のローテートを参照してください。