データ暗号化と暗号鍵の管理方法の重要性

「Amazon EBS 暗号化」の一つの問題として、「暗号鍵を自分で管理することができない」ということがあります。
では、これはどういうことなのでしょうか?

暗号鍵とはデータを暗号化及び復号化するときに必要となる重要なもので、実際に暗号化するデータを保存するサーバとは別の場所に保存することが望ましいとされています。よくある例えですが金庫の横に鍵を置くような管理をしてはいけないということです。

「Amazon EBS 暗号化」では暗号鍵の管理はAmazon独自のキー管理インフラストラクチャであるAWS Key Management Serviceにより提供されています。これはサーバの外で暗号鍵を管理できますが、Amazon以外のサービスでは利用できません。「Amazon側で管理してくれるなら安心」という方もいれば、「暗号鍵は自社サーバで管理したい」とい方もいます。しかし、Amazon以外のクラウドやオンプレミスのサーバも利用している場合はどうすればいいのでしょうか?
その場合はAmazonの仕組みは当然利用できませんので、別の方法を考える必要がでてきます。つまり、特定サービスの利便性への依存はシステム全体の自由度を奪う可能性が高くなってしまいます。

セキュリティ面ではどうでしょうか?

通常は暗号鍵を他社に預けることはセキュリティ上は避けるべきことです。なぜなら、万が一暗号化鍵が取り出せなかったり、盗まれたりすることは0%ではありません。それはAmazonのサービスであったとしても同様です。コンプライアンス上厳しいセキュリティ監査をクラウドサービスを相手に要求するのは難しいでしょう。特にAmazonのような外国企業の運用するサービスであればなおさらです。リスクを最小限にしたいのであれば、最終的には自社管理のセキュアなネットワーク内で暗号鍵を管理できるようにするのが理想となるでしょう。

弊社のLinux暗号化ソリューション「Server-GENERAL」はAWSだけでなく、あらゆるクラウドサービス上のLinuxサーバを暗号化できます。また鍵管理サーバを自社で運用でき安全なネットワーク内で独自に運用可能です。

記事をシェアする