コンポーネントと概念-標準プラン

IBM Cloud® Hyper Protect Crypto Services を使用して暗号鍵の管理やデータの保護を行うために、まずは Hyper Protect Crypto Services の基本的なコンポーネントと概念について説明します。

キー管理サービス

暗号鍵を管理するための Hyper Protect Crypto Services の鍵管理機能に関連する概念について説明します。最も基本的な概念から順に以下に記載します。

ルート・キー

ルート鍵 (別名: 顧客ルート鍵 (CRK)) は、Hyper Protect Crypto Services の主要なリソースです。これは、データ・サービス内に保管されている他のデータ暗号鍵 (DEK) をラッピング (暗号化) およびアンラッピング (暗号化解除) するための信頼のルートとして使用される、対称鍵ラップ鍵です。 Hyper Protect Crypto Services を使用して、ルート鍵の作成、保管、およびライフサイクルの管理を行うことができます。 Hyper Protect Crypto Services で作成されるルート鍵は、対称 256 ビット AES 鍵です。標準鍵とは異なり、ルート鍵は Hyper Protect Crypto Services サービスの境界から外に出ることは決してできません。詳しくは、エンベロープ暗号化の概要および鍵の管理を参照してください。

標準キー

標準鍵とは、直接データを暗号化/復号する、Hyper Protect Crypto Services のリソースです。鍵の管理の手順を実行することで、標準鍵を管理できます。

データ暗号鍵

データ暗号鍵 (DEK) とは、データを暗号化するために使用する暗号鍵です。これは、ユーザー所有のアプリケーションが提供するものであり、アプリケーションの保管データを暗号化するために使用されます。 Hyper Protect Crypto Services で管理するルート鍵は、DEK を保護するためのラッピング鍵として機能します。詳しくは、エンベロープ暗号化の概要を参照してください。

エンベロープ暗号化

エンベロープ暗号化とは、DEK を使用してデータを暗号化し、次にその DEK を、ユーザーが完全に管理できるルート鍵を使用して暗号化する手法です。詳しくは、エンベロープ暗号化の概要を参照してください。

クラウドのハードウェア・セキュリティー・モジュール

このセクションでは、Hyper Protect Crypto Servicesクラウドのハードウェア・セキュリティー・モジュール (HSM) の機能に関連する概念について説明します。最も基本的な概念から順に以下に記載します。

ハードウェア・セキュリティー・モジュール

ハードウェア・セキュリティー・モジュール (HSM) とは、強力な認証のためにデジタル鍵を保護および管理し、暗号処理を提供する物理デバイスです。 IBM Cloud Hyper Protect Crypto Services の HSM は、FIPS 140-2 レベル 4 の認定を受けています。これは、暗号化ハードウェアとして最高レベルのセキュリティーです。このセキュリティー・レベルでは、すべての不正な物理アクセスの試行を検出して対応するという目的で、物理的セキュリティー・メカニズムにより暗号モジュールの周りに完全な保護エンベロープが提供されます。

暗号化ユニット

暗号装置とは、HSM とその HSM の暗号処理専用の対応するソフトウェア・スタックに相当する単一の装置です。 Hyper Protect Crypto Services では、以下のタイプの暗号装置を使用できます。

運用暗号装置

Hyper Protect Crypto Services インスタンスの作成時に指定する暗号装置の数は、運用暗号装置の数です。高可用性と災害復旧のためには、運用暗号装置を 2 台以上セットアップする必要があります。これらの操作可能な暗号装置は、サービス・インスタンスが配置されているのと同じリージョンの異なるアベイラビリティー・ゾーンに配置されています。運用暗号装置は、暗号鍵を管理して暗号操作を実行するために使用されます。
リカバリー用暗号装置

マドリッド (eu-es) 以外の地域でサービス・インスタンスを作成すると、追加コストなしで 2 つのリカバリー暗号装置がサービス・インスタンスに自動的に割り当てられます。1 つは同じ地域に割り当てられ、もう 1 つはその地域の災害復旧地域に割り当てられます。リカバリー暗号装置は、ランダム・マスター鍵を生成するために使用されます。ランダム・マスター鍵は、操作可能な暗号装置およびもう一方のリカバリー暗号装置に安全にエクスポートされ、サービス・インスタンスを初期化します。

リカバリー用暗号装置は、運用暗号装置で使用されるマスター鍵値のコピーを保存するバックアップ暗号装置としても使用できます。マスター鍵が失われたか破棄された場合は、署名された TKE 管理コマンドを使用して、リカバリー暗号装置からマスター鍵をリカバリーすることができます。

スマート・カードを使用してマスター・キーをロードする場合は、リカバリー暗号化ユニットは適用されないため、無視できます。マスター・キーのバックアップは、その場合のスマート・カードのバックアップに依存します。
フェイルオーバー暗号化ユニット

フェイルオーバー暗号装置は、別のリージョンにある操作可能な暗号装置と鍵ストアをバックアップし、災害時の迅速なフェイルオーバーを実現するために初期化されます。フェイルオーバー用暗号装置には追加料金が課金され、このオプションを現在使用できるリージョンは us-south と us-east のみであるため、これら 2 つのリージョンの一方にインスタンスを作成した場合は、フェイルオーバー用暗号装置はもう一方のリージョンに配置されます。リージョン規模の災害が発生した場合のフェイルオーバー用暗号装置の使用について詳しくは、フェイルオーバー用暗号装置を使用したデータの復元を参照してください。

管理者

暗号装置にコマンドを発行するために、管理者をターゲット暗号装置に追加できます。 1 つの暗号装置に最大 8 人の管理者を追加して、セキュリティーを強化することができます。管理者ごとに、ID 認証用の秘密署名鍵を 1 つ所有します。

署名鍵

暗号装置に対して発行するコマンドには、管理者が署名鍵を使用して署名する必要があります。 Hyper Protect Crypto Services で作成される署名鍵は、P521 楕円曲線 (EC) 鍵です。署名鍵の秘密パーツは、署名を作成するために使用されます。公開パーツは、暗号装置管理者を定義するためにターゲット暗号装置にインストールされた証明書に配置されます。インプリント・モードで発行されたコマンドは、署名鍵で署名する必要はありません。

インプリント・モード

IBM Cloud ユーザーに割り当てられた暗号装置は、インプリント・モード というクリアな状態で開始します。インプリント・モードでは、暗号化ユニットのほとんどの操作が無効になっています。また、インプリント・モードの暗号化ユニットはセキュアではありません。インプリント・モードで管理者を追加してから、署名されたコマンドを使用してインプリント・モードを終了することができます。暗号化ユニットのインプリント・モードが終了したら、その暗号化ユニットを構成するすべてのコマンドに署名が必要になります。インプリント・モードを終了しないと、マスター鍵をロードできません。

クォーラム認証

クォーラム認証とは、設定した人数の暗号装置管理者が操作を承認するという手法です。一部の機密操作 (マスター鍵レジスターのコミット、最低必要署名数の変更、暗号装置のインプリント・モード終了後の管理者の追加または削除など) では、十分な数の暗号装置管理者が資格情報を入力する必要があります。クォーラム認証によって、1 人では暗号装置に重大な変更を加えられないようになります。そのような操作を行うには、最低限の人数の暗号装置管理者 (少なくとも 2 人) が協力する必要があります。クォーラム認証で、複数人の暗号装置管理者からの操作の承認を必須にすることで、暗号装置に保護層を追加できます。

最低必要署名数

暗号装置の最低必要署名数とは、コマンドを実行するために必要な管理署名の数を制御するものです。インプリント・モードでは、最低必要署名数はゼロに設定されています。インプリント・モードを終了するには、最低必要署名数をゼロより大きい値に設定します。暗号装置をゼロ化すると、最低必要署名数はゼロにリセットされます。

暗号装置には、2 つのタイプの最低必要署名数があります。メインの最低必要署名数は、ほとんどの管理コマンドの実行に必要な署名数を制御します。取り消しの最低必要署名数は、管理者の削除に必要な署名数を制御します。署名しきい値の設定に関係なく、署名を 1 つしか必要としないコマンドもあります。

最低必要署名数を 1 より大きい値に設定すると、機密性の高い操作では、複数人の管理者によるクォーラム認証が有効になります。最低必要署名数および取り消しの最低必要署名数として設定できる最大値は 8 です。これは、暗号装置に追加できる管理者の最大数でもあります。

マスター・キー

マスター鍵 (HSM マスター鍵とも呼ばれます) とは、鍵ストレージ用のサービス・インスタンスを暗号化するために使用するものです。これは対称 256 ビット AES 鍵です。マスター鍵を使用することにより、クラウド HSM の所有権がお客様のものになり、鍵管理の鍵ストア内のルート鍵と標準鍵や、EP11 鍵ストア内の Enterprise PKCS #11 (EP11) 鍵などの暗号鍵の階層全体を暗号化する Root of Trust (信頼の基点) を所有することができます。暗号鍵を管理する前に、まずマスター鍵を構成する必要があります。 1 つのサービス・インスタンスで設定できるマスター鍵は 1 つだけです。サービス・インスタンスのマスター鍵を削除すると、そのサービスで管理されている鍵で暗号化されたすべてのデータの暗号破棄作業を効率的に行うことができます。

マスター鍵パーツ

キー・パーツ・ファイルを使用してサービス・インスタンスを初期化する場合や、スマート・カードを管理ユーティリティーと併用してサービス・インスタンスを初期化する場合は、マスター・キーは 2 つまたは 3 つのマスター・キー・パーツで構成されます。Hyper Protect Crypto Services で作成されるマスター鍵パーツは、対称 256 ビット AES 鍵です。セキュリティーを考慮して、別々の人が各鍵パーツを所有することができます。IBM Cloud の TKE CLI プラグインを使用してマスター鍵をロードした場合は、鍵パーツはワークステーションの鍵パーツ・ファイルに保管されます。 Hyper Protect Crypto Services 管理ユーティリティーを使用してマスター鍵をロードする場合、鍵パーツはスマート・カードに保管されます。キー・パーツの所有者は、ファイルのパスワードまたはスマート・カードの暗証番号 (PIN) を知る唯一の存在である必要があります。

IBM Cloud Trusted Key Entry CLI プラグイン

Trusted Key Entry (TKE) コマンド・ライン・インターフェース (CLI) プラグインは、IBM Cloud CLI で使用できる CLI プラグインです。 TKE プラグインにより、IBM Cloud ユーザー・アカウントに割り当てられた暗号装置を管理するための機能セットが提供されます。セキュリティーの要件が中程度の場合には、TKE プラグインを使用して、管理者のセットアップとマスター鍵のロードを行うことができます。 TKE CLI プラグインでは、サービス・インスタンスを初期化するための 2 つの方法が用意されています。1 つは、鍵パーツ・ファイルを使用してサービス・インスタンスを初期化する方法であり、もう 1 つは、リカバリー用暗号装置を使用してサービス・インスタンスを初期化する方法です。完全なコマンド・リファレンスについては、Trusted Key Entry CLI プラグイン・リファレンスを参照してください。

管理ユーティリティー

管理ユーティリティーは、最高レベルのセキュリティーを備えたスマート・カードに保管されている署名鍵およびマスター鍵パーツを使用してサービス・インスタンスを構成するための代替方法を提供します。管理ユーティリティーを使用するには、IBM がサポートするスマート・カード・リーダーとスマート・カードを注文する必要があります。管理ユーティリティーをインストールして構成する手順について詳しくは、スマート・カードと管理ユーティリティーのセットアップおよびスマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期設定を参照してください。

スマート・カード

スマート・カードは、チップを内蔵したクレジット・カードのような外観です。このチップは、限定された一連の暗号操作を実行できます。このチップには、カスタム・ソフトウェアがロードされます。管理ユーティリティーのスマート・カード・ユーティリティー・プログラムが、スマート・カードにカスタム・ソフトウェアをロードし、次の 2 つのタイプのスマート・カードを作成します。

認証局スマート・カード - 組み合わせて使用する一連のスマート・カード (スマート・カード・ゾーン) を設定します。
Enterprise PKCS #11 (EP11) スマート・カード - 管理者署名鍵と最大 85 個のマスター鍵パーツを保管します。 EP11 スマート・カードでは、スマート・カードに保管されている秘密署名鍵を使用してコマンドに署名すること、暗号装置に送るためにマスター鍵パーツを暗号化することができます。

スマート・カードは暗証番号 (PIN) で保護されているため、スマート・カードで操作を実行するには、スマート・カード・リーダーの PIN パッドに PIN を入力する必要があります。 EP11 スマート・カードには PIN が 1 つあります。認証局スマート・カードには PIN が 2 つあり、操作を実行するには両方の PIN を入力する必要があります。

EP11 スマート・カードで誤った PIN を 3 回入力すると、スマート・カードがブロックされて、PIN の入力を必要とする操作はできなくなります。スマート・カード・ユーティリティー・プログラムを使用して、EP11 スマート・カードのブロックを解除できます。EP11 スマート・カードのブロックを解除するには、EP11 スマート・カードの初期設定に使用した認証局スマート・カードが必要です。EP11 スマート・カードのブロックを解除するには、メニューから**「EP11 スマート・カード (EP11 Smart Card)」>「EP11 スマート・カードのブロック解除 (Unblock EP11 smart card)」**を選択し、プロンプトに従います。

認証局スマート・カードは、誤った PIN を 5 回入力するとブロックされます。認証局スマート・カードがブロックされると、ブロックは解除できません。

スマート・カード・リーダー

スマート・カード・リーダーとは、ワークステーションに接続して、そのワークステーションがスマート・カードと通信できるようにするデバイスです。スマート・カードにアクセスするには、スマート・カード・リーダーにスマート・カードを挿入する必要があります。スマート・カードのほとんどの操作は、スマート・カード・リーダーの PIN パッドにスマート・カード PIN を入力しないと実行できません。

スマート・カード・リーダーを使用する前に、スマート・カード・リーダーのドライバーをワークステーションにインストールしておく必要があります。詳しくは、スマート・カード・リーダーのドライバーのインストールを参照してください。

スマート・カード・ユーティリティー・プログラム

スマート・カード・ユーティリティー・プログラムは、管理ユーティリティーの一部としてインストールされる 2 つのアプリケーションのうちの 1 つです。このプログラムは、Trusted Key Entry (TKE) アプリケーションで使用するスマート・カードをセットアップして管理します。

Trusted Key Entry アプリケーション

Trusted Key Entry (TKE) アプリケーションは、管理ユーティリティーの一部としてインストールされる 2 つのアプリケーションのうちの 1 つです。このアプリケーションは、スマート・カードを使用してサービス・インスタンスにマスター・キーをロードし、サービス・インスタンスに対してさまざまな構成タスクを実行します。

Keep Your Own Key

Hyper Protect Crypto Services は、Keep Your Own Key (KYOK: 自分の鍵の保持) 機能をサポートしています。お客様がマスター鍵を構成してクラウド HSM を完全に管理することができます。つまり、持ち込み、制御、管理する暗号鍵を完全に管理し、暗号鍵に対する完全な権限を持つことになります。お客様の暗号鍵にはお客様しかアクセスできません。

PKCS #11

Public-Key Cryptography Standards (PKCS) #11 の API では、HSM やスマート・カードなどの暗号トークンに対する、プラットフォームに依存しない API が規定されています。 PKCS #11 を使用する既存のアプリケーションは、セキュアな鍵暗号方式と、暗号操作の効率を格段に向上させるステートレスなインターフェースを使用して、強化されたセキュリティーを利用できます。詳しくは、 PKCS #11 APIを参照してください。

Cryptoki

PKCS #11 標準で規定された暗号トークン・インターフェース。 Cryptoki は、テクノロジーの独立性およびリソースの共有という目標を達成するために、シンプルなオブジェクト・ベースの手法に従っています。

PKCS #11 ライブラリー

PKCS #11 標準で規定された Cryptoki の API 関数を実装する PKCS #11 ライブラリー。 PKCS #11 ライブラリーによって、アプリケーションで PKCS #11 の API を使用して Hyper Protect Crypto Services のクラウド HSM にアクセスし、暗号操作を実行することができます。ライブラリーをセットアップする方法について詳しくは、PKCS #11 の API を使用した暗号操作の実行を参照してください。

Cryptoki トークン

暗号デバイスを表す論理的視点として、Cryptoki で規定されたもの。詳しくは、「 PKCS #11 Cryptographic Token Interface Usage Guide Version 2.40-Logical view of a token」を参照してください。

Cryptoki セッション

アプリケーションとトークンの間の論理接続。 Cryptoki では、トークンのオブジェクトと関数を利用するために、アプリケーションがトークンとの間に 1 つ以上のセッションを開く必要があります。セッションは、読み取り/書き込み (R/W) のセッションにするか、読み取り専用 (R/O) のセッションにすることができます。詳しくは、PKCS #11 の概要 - セッションを参照してください。

Cryptoki オブジェクト

トークンに保管されるアイテム。オブジェクトは、データ、証明書、または鍵にすることができます。データ・オブジェクトは、アプリケーションで定義します。証明書オブジェクトは証明書を格納します。キー・オブジェクトは暗号キーを格納します。オブジェクトの各特性は、属性で定義します。詳しくは、PKCS #11 の概要 - 鍵オブジェクトを参照してください。

メカニズム

暗号操作を実装するためのプロセス。

Enterprise PKCS #11

Enterprise PKCS #11 (EP11) は、オープン・スタンダードのサポートとセキュリティーの向上を必要としているお客様のために設計されたものです。 EP11 ライブラリーには、業界標準の PKCS #11 API に似たステートレス・インターフェースが用意されています。暗号装置が実行される HSM は EP11 ライブラリーをサポートしているため、ユーザーは gRPC で EP11 API を呼び出して独自の鍵管理とデータ暗号化を行うことができます。詳しくは、 Enterprise PKCS #11(EP11)Library structure 資料を参照してください。

gRPC

gRPC は、オープン・ソースによる最新の高性能なリモート・プロシージャー・コール (RPC) フレームワークであり、ロード・バランシング、トレース、ヘルス・チェック、および認証を行うために、データ・センター内で、またデータ・センターをまたいでサービス間の接続を確立することができます。 gRPC を使用してリモートから EP11 API を呼び出して、アプリケーションから Hyper Protect Crypto Services EP11 ライブラリーにアクセスできます。 gRPCについて詳しくは、 gRPC の資料を参照してください。

Enterprise PKCS #11 over gRPC

IBM Cloud® Hyper Protect Crypto Services は、 gRPC API 呼び出し ( GREP11とも呼ばれる) を介した一連の Enterprise PKCS #11 (EP11) を提供します。これにより、すべての暗号 HSM 機能が実行されます。 EP11 over gRPC は、クラウドで暗号操作を行うためのステートレス・インターフェースです。 GREP11 API について詳しくは、EP11 over gRPC の概要と GREP11 の API リファレンスを参照してください。