Key Protect の概要
IBM® Key Protect for IBM Cloud® は、FIPS 140-2 レベル 3 認定のクラウド・ベースのハードウェア・セキュリティー・モジュールを利用した最新のエンベロープ暗号化技法を使用して IBM Cloud のデータを保護および保管できるフルサービスの暗号化ソリューションです。
暗号化されていない状態で (言い換えると、「平文」で) 機密データをクラウド・プロバイダーに保管してはいけません。 しかし、数千年前に作成された最古の暗号文にさかのぼれば、どのような暗号化方法にも言えることだが、情報を簡単に解読できないように暗号化するだけでなく、暗号化・解読に使用される暗号を保護することも重要である(暗号を持つことはデータを持つことと同じであるため)。
この解決策となるのが、Key Protect のような鍵管理システムです。これは、平文データの暗号化に使用したデータ暗号鍵 (DEK) を、侵入不可能な HSM で IBM が管理しているルート鍵を使用して暗号化することでデータを安全な状態に維持します。 「エンベロープ暗号化」と呼ばれるこのようなシステムでは、データを復号するプロセスは、暗号化された DEK を「アンラップ」する (エンベロープを開封するともいえます) ことから始まり、その後に DEK を使用してデータを復号します。
エンベロープ暗号化の仕組みについて詳しくは、エンベロープ暗号化を使用したデータ保護を参照してください。
どの IBM Cloud セキュリティーがユース・ケースに適しているか不明な場合は、 詳しくは、 どのデータ・セキュリティー・サービスが最適か を確認してください。
Key Protect の機能
- 暗号鍵をクラウドに持ち込む: 内部鍵管理インフラストラクチャーから IBM Cloudに対称鍵を安全にエクスポートすることで、鍵管理の手法を完全に制御し、強化します。
- 堅牢なセキュリティ :FIPS 140-2 レベル 3 認定のハードウェア・セキュリティ・モジュール(HSM)を使用して、鍵のプロビジョニングと保存を行います。 IBM Cloud Identity and Access Management(IAM)ロールを 活用して、鍵へのきめ細かなアクセス制御を実現します。 詳しくは、Key Protect を使用する際の責任についてを参照してください。
- コントロールと可視性 : IBM Cloud Logs を使って、ユーザーとアプリケーションが Key Protect とどのように相互作用するかを測定する。 詳しくは IBM Cloud Logs.
- 簡素化された請求 :単一のビューからすべてのアカウントのサブスクリプションとクレジットの支出を追跡します。 鍵、鍵バージョン、および価格設定について詳しくは、 価格設定 を確認してください。
- 自己管理型暗号化 :ルートキーと標準キーを作成またはインポートしてデータを保護します。
- 柔軟性: IBM Cloud 上または外部のアプリは、 Key Protect API と統合できます。 Key Protect は、さまざまな IBM データベース、ストレージ、コンテナー、および取り込みサービスと容易に統合できます。 詳しくは、サービスの統合を参照してください。
- 内蔵の保護機能 :削除されたキーとその暗号化されたデータは決して復元できません。 UI、CLI、または API を使用して、ユーザー役割や鍵の状態を管理したり、ユース・ケースに応じたローテーション・スケジュールを設定したりできます。
- アプリケーションに依存しない :アプリケーションロジックに依存しないキーの生成、保存、取得、管理。
- KMIP(Key Management Interoperability Protocol) のサポートは、VMWareによって認証されているため、KMIP KMS サーバー経由で暗号化を受け付けるあらゆるサービスやプラットフォームと直接統合できます。 他のKMSがサードパーティのKMIPサーバーのサポートを必要とする場合、KMIPのサポートはKey Protectによって統合され、管理されます。 また、KMIP対称キーは シングル・キー・バージョン としてのみ課金されるため、使用した分だけ支払うことができます。
Key Protect を使用する理由
業務が直面している問題を、Key Protect を使用して実稼働環境で大規模に解決する一般的なシナリオをいくつか以下に示します。
| シナリオ | 理由 |
|---|---|
| FIPS 140-2 レベル 3 検証済みハードウェアを基礎として暗号鍵を作成および管理する必要があります。 | ハードウェアを共有するマルチテナント・サービスを利用することで、** Key Protect を使用して暗号鍵を生成し、インポートすることができる。 |
| 大企業の IT 管理者として、数多くのさまざまなサービス・オファリング用の暗号鍵を統合、追跡、およびローテートさせる必要があります。 | Key Protect インターフェースは、複数の暗号化サービスの管理を簡素化します。 このサービスを使用すると、暗号鍵の管理や分類を 1 カ所で集中的に行うことも、プロジェクト別に鍵を分離して別々の IBM Cloud スペースに格納することもできます。 |
| 開発者として、自己暗号化ストレージなどの既存のアプリケーションを Key Protect に統合する必要があります。 | IBM Cloud のアプリも外部にあるアプリも、Key Protect API を使用して統合することができます。 既存の鍵をアプリで使用したり、それらの鍵を Key Protect にインポートしたりできます。 |
| 開発チームが厳しいポリシーを設定したので、鍵を生成してローテートする方法が必要です。 | Key Protect を使用すると、IBM Cloud ハードウェア・セキュリティー・モジュール (HSM) から迅速に鍵を生成できます。 鍵の置換が必要になったら、Key Protect で作成された鍵かインポートされた鍵かによらず、オンデマンドで鍵をローテートするか、鍵にローテーション・ポリシーを設定して、現在のセキュリティー要件を満たすことができます。 |
| データの保護方法に対するガバナンスを遵守する必要がある、業界 (金融や法律など) のセキュリティー管理者です。 保護しているデータを危険にさらすことなく、鍵の制御アクセスを認可する必要があります。 | このサービスでは、さまざまな IAM 役割を割り当てることで鍵を管理するためのユーザーのアクセス権限を制御できます。 例えば、鍵の素材を表示せずに鍵の作成情報を表示する必要があるユーザーに対しては、読み取り専用アクセス権限を付与できます。 同様に、必要であれば単一の鍵に対する「管理者」役割をユーザーに割り当てることもできます。 |
| データをクラウドに移動するので、エンベロープ暗号化を実行する必要があります。 独自のマスター暗号鍵を持ち込んで、保存データを暗号化している他の鍵を管理および保護できるようにする必要があります。 | Key Protect では、高度に安全なルート鍵でデータ暗号鍵をラップ (暗号化) できます。必要なときにその鍵をアンラップすることもできます。 独自のルート鍵を持ち込むことも、サービス内でルート鍵を作成することもできます。 |
Key Protect は、最高のコスト効率、セキュリティー、および規模を提供するクラウド・ベースの鍵管理システムです。 お客様が管理するクラウドベースのHSMをサポートする専用の鍵管理ソリューションをお探しなら、。 IBM Cloud Hyper Protect Crypto Services は、 Key Protect と統合して KYOK (Keep Your Own Keys) for IBM Cloud を実現するため、組織のデータに対する管理と権限が強化されます。 詳しくは、 Hyper Protect Crypto Services オファリングの詳細ページ を参照してください。
Key Protect の機能方法
IBM Key Protect は、組織全体の暗号鍵を管理しやすくするために、IBM Cloud の IAM の役割と連動しています。
IT 管理者またはセキュリティー管理者には、監査員を含め他のユーザーには必要にならないような高い権限がインスタンス、鍵、または鍵リングに対して必要になることがあります。 このため、Key Protect では、確立されている IAM 役割を対応付けることで、必要に応じてユーザーごとにきめ細かくアクセス権限を許可できるようにしています。 詳しくは、ユーザーとアクセス権限の管理を参照してください。
次の図は、管理者、リーダー、ライターというデフォルトの IAM 役割が、このサービスで管理される鍵に対して実行できる操作を示しています。
1 人の特定のユーザーに複数の特定のリソースに対する特定の役割を割り当てることができますが (インスタンス・レベルの「リーダー」役割を持つユーザーを、特定の鍵または鍵リングの「管理者」にすることができます)、大まかにいうと次のようになります。
- リーダーは、鍵に関する情報にアクセスできます。
- ライターは、Key Protect と統合されたアプリケーションまたはサービスで鍵を使用できます。
- 管理者は、(リーダーとライターが実行できるすべての操作に加えて) 鍵を作成し、鍵のライフサイクルを制御できます。
アーキテクチャーの概要
Key Protect は、Galois/Counter Mode (AES GCM) で Advanced Encryption Standard アルゴリズムを使用して、DEK をラップおよびアンラップします。 インポートされない CRK は、256 ビットの鍵素材で作成されます。 インポートされた CRK は、128 ビット、192 ビット、または 256 ビットの鍵素材を持つことができます。
次のアーキテクチャー図は、Key Protect コンポーネントが機密データと鍵をどのように保護するかを示しています。
Key Protect サービスへのアクセスは、HTTPS を介して行われます。 すべての通信では、Transport Layer Security (TLS) プロトコルを使用して転送中のデータが暗号化されます。 TLS および Key Protect でサポートされる暗号について詳しくは、データ暗号化を参照してください。
| コンポーネント | 説明 |
|---|---|
| Key Protect REST API | Key Protect REST API は、IBM Cloud サービス全体にわたって暗号鍵の作成と管理を実行します。 |
| IBM 管理のハードウェア・セキュリティー・モジュール | IBM Cloud データ・センターは、鍵を保護するためのハードウェアを舞台裏で提供しています。 ハードウェア・セキュリティー・モジュール (HSM) は、改ざんに耐性のあるハードウェア・デバイスであり、暗号境界外部に鍵を公開することなく暗号鍵素材を保管および使用します。 鍵の作成や鍵のローテーションなどのすべての暗号操作は、HSM 内で実行されます。 IBM は HSM のマスター鍵を定期的にローテーションすることで、追加のセキュリティー層を提供しています。 |
| カスタマー・マネージド型暗号キー | ルート鍵は、エンベロープ暗号化を使用してデータ暗号鍵を保護する対称鍵です。 ルート鍵が HSM の境界外部に出ることはありません。 |
| 専用の鍵ストレージ | 鍵メタデータは、追加のアプリケーション層の暗号化を使用して暗号化される、耐久性の高い Key Protect 専用ストレージに保管されます。 |
| 微細化されたアクセス制御 | Key Protect は IBM Cloud の IAM 役割を利用して、インスタンス、鍵、および鍵リングのレベルの適切なアクセス権限をユーザーに割り当てられるようにしています。 |