★☆★JNSAメールマガジン 第210号 2021.4.30☆★☆
2021/04/30 (Fri) 12:30
★☆★JNSAメールマガジン 第210号 2021.4.30☆★☆
こんにちは
JNSAメールマガジン 第210号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは一般社団法人日本クラウドセキュリティアライアンス
の諸角昌宏様にご寄稿いただきました。
【連載リレーコラム】
クラウドデータセキュリティにおける鍵管理の考え方
一般社団法人 日本クラウドセキュリティアライアンス
業務執行理事 諸角 昌宏
クラウド環境におけるデータセキュリティの基本は暗号化です。クラウド内に
保存される機密データや個人データは共有プールに置かれるため、マルチテナ
ント環境であるとしてもデータを安全に保護していくためには暗号化が重要に
なります。さらに、暗号化とともに重要となる鍵の管理は、クラウド環境にお
いては新たに考慮すべき点があります。それは、鍵の管理をプロバイダが行っ
た場合、暗号化されたデータおよび暗号/復号の鍵がどちらもクラウド上に存
在することになるため、クラウド環境における情報侵害やプロバイダの内部管
理者による情報漏洩、召喚状への対応等を考慮した場合、問題となる可能性が
あるからです。したがって、クラウドにおける鍵管理の原則は、クラウド利用
者が鍵を管理するということになります。CSAジャパンが2021年3月1日に
日本語版として公開した「クラウドサービスの鍵管理
(https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2021/02/Key-Management-in-Cloud-Services_J.pdf)」
は、このクラウドにおける鍵管理の原則をどのように実現するかについて説明
しています。また、鍵管理に関するそのほかの重要な内容ついても説明してい
ますので、ぜひご一読いただければと思います。本コラムでは、「クラウドサー
ビスの鍵管理」で悦明されている鍵管理の方法について説明します。
クラウドにおける鍵管理のパターン(KMSパターン)として、以下の4つの
パターンが考えられます。この4つのパターンは、クラウドで見られる一般的
な鍵管理のパターンをあげたものです。これらについて、それぞれ説明してい
きます。
なお、「クラウドサービスの鍵管理」においては、それぞれのパターンをプロ
バイダおよび利用者の双方の関係として図式化していますのでこちらも合わせ
てご覧ください。
A.クラウドネイティブ鍵管理システム
このパターンは、利用者が使用するクラウドサービスを提供するプロバイダが
KMSを構築し所有するもので、プロバイダが鍵を持つため、プロバイダから利
用者データを完全に確保することはできません。しかしながら、利用者にとっ
て利用可能な実装と機能セットがシンプルなため、鍵管理の知識の必要性や管
理上の負担を軽減することができる可能性が高いものです。
B.外部鍵作成
この外部鍵作成パターンは、利用者がKMSを管理し、クラウド内のハードウェ
アおよびソフトウェアコンポーネントはプロバイダ管理下のKMSを使用するも
のです。利用者がルート鍵の生成とクラウドKMSへのインポートを行うことが
できるので、クラウドにおける利用者鍵管理の原則を満たすことができます。
しかしながら、クラウド内で暗号および復号の処理を行う場合、プロバイダの
KMSと利用者のKMSでの接続が必要となります。
C.外部鍵管理システムを使用したクラウドサービス
このパターンでは、KMSが完全に外部へホストされます。KMSは利用者もしく
はクラウドプロパイダの所有物かもしれませんが、利用者のために用意されるも
のです。こちらのパターンも、KMSとクラウドサービスのアクティビティを完
全に分離することが可能ですので、クラウドにおける利用者鍵管理の原則を満
たすことができます。
D.マルチクラウド鍵管理システム
このパターンは、上記のパターンCの外部KMSはすでに存在しており、それを
複数のクラウドへ拡張したり複数のKMSを選択して拡張したりすることができ
ます。マルチクラウド環境に対応したり、クラウドスケールでの可用性に利用す
ることができます。
「クラウドサービスの鍵管理」では、上記のようなクラウド環境でのKMSの利
用パターンの説明、鍵管理のコントロール方法、アプリケーション開発におけ
る推奨方法の紹介、メガプロバイダによるKMSの実装方法の比較等、幅広く説
明されていますのでぜひご一読ください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第210号の感想をお寄せください。
https://ux.nu/RUUlk
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★4月15日、16日に開催いたしました
「PKI&TRUST Days online 2021「デジタル社会におけるトラスト」」の
講演資料を公開いたしました。
https://www.jnsa.org/seminar/pki-day/2021/index.html
★2021年度のJNSA部会・ワーキンググループ活動情報を公開しました。
https://www.jnsa.org/active/2021/act.html
【事務局からのお知らせ】
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第210号
発信日:2021年4月30日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第210号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは一般社団法人日本クラウドセキュリティアライアンス
の諸角昌宏様にご寄稿いただきました。
【連載リレーコラム】
クラウドデータセキュリティにおける鍵管理の考え方
一般社団法人 日本クラウドセキュリティアライアンス
業務執行理事 諸角 昌宏
クラウド環境におけるデータセキュリティの基本は暗号化です。クラウド内に
保存される機密データや個人データは共有プールに置かれるため、マルチテナ
ント環境であるとしてもデータを安全に保護していくためには暗号化が重要に
なります。さらに、暗号化とともに重要となる鍵の管理は、クラウド環境にお
いては新たに考慮すべき点があります。それは、鍵の管理をプロバイダが行っ
た場合、暗号化されたデータおよび暗号/復号の鍵がどちらもクラウド上に存
在することになるため、クラウド環境における情報侵害やプロバイダの内部管
理者による情報漏洩、召喚状への対応等を考慮した場合、問題となる可能性が
あるからです。したがって、クラウドにおける鍵管理の原則は、クラウド利用
者が鍵を管理するということになります。CSAジャパンが2021年3月1日に
日本語版として公開した「クラウドサービスの鍵管理
(https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2021/02/Key-Management-in-Cloud-Services_J.pdf)」
は、このクラウドにおける鍵管理の原則をどのように実現するかについて説明
しています。また、鍵管理に関するそのほかの重要な内容ついても説明してい
ますので、ぜひご一読いただければと思います。本コラムでは、「クラウドサー
ビスの鍵管理」で悦明されている鍵管理の方法について説明します。
クラウドにおける鍵管理のパターン(KMSパターン)として、以下の4つの
パターンが考えられます。この4つのパターンは、クラウドで見られる一般的
な鍵管理のパターンをあげたものです。これらについて、それぞれ説明してい
きます。
なお、「クラウドサービスの鍵管理」においては、それぞれのパターンをプロ
バイダおよび利用者の双方の関係として図式化していますのでこちらも合わせ
てご覧ください。
A.クラウドネイティブ鍵管理システム
このパターンは、利用者が使用するクラウドサービスを提供するプロバイダが
KMSを構築し所有するもので、プロバイダが鍵を持つため、プロバイダから利
用者データを完全に確保することはできません。しかしながら、利用者にとっ
て利用可能な実装と機能セットがシンプルなため、鍵管理の知識の必要性や管
理上の負担を軽減することができる可能性が高いものです。
B.外部鍵作成
この外部鍵作成パターンは、利用者がKMSを管理し、クラウド内のハードウェ
アおよびソフトウェアコンポーネントはプロバイダ管理下のKMSを使用するも
のです。利用者がルート鍵の生成とクラウドKMSへのインポートを行うことが
できるので、クラウドにおける利用者鍵管理の原則を満たすことができます。
しかしながら、クラウド内で暗号および復号の処理を行う場合、プロバイダの
KMSと利用者のKMSでの接続が必要となります。
C.外部鍵管理システムを使用したクラウドサービス
このパターンでは、KMSが完全に外部へホストされます。KMSは利用者もしく
はクラウドプロパイダの所有物かもしれませんが、利用者のために用意されるも
のです。こちらのパターンも、KMSとクラウドサービスのアクティビティを完
全に分離することが可能ですので、クラウドにおける利用者鍵管理の原則を満
たすことができます。
D.マルチクラウド鍵管理システム
このパターンは、上記のパターンCの外部KMSはすでに存在しており、それを
複数のクラウドへ拡張したり複数のKMSを選択して拡張したりすることができ
ます。マルチクラウド環境に対応したり、クラウドスケールでの可用性に利用す
ることができます。
「クラウドサービスの鍵管理」では、上記のようなクラウド環境でのKMSの利
用パターンの説明、鍵管理のコントロール方法、アプリケーション開発におけ
る推奨方法の紹介、メガプロバイダによるKMSの実装方法の比較等、幅広く説
明されていますのでぜひご一読ください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第210号の感想をお寄せください。
https://ux.nu/RUUlk
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★4月15日、16日に開催いたしました
「PKI&TRUST Days online 2021「デジタル社会におけるトラスト」」の
講演資料を公開いたしました。
https://www.jnsa.org/seminar/pki-day/2021/index.html
★2021年度のJNSA部会・ワーキンググループ活動情報を公開しました。
https://www.jnsa.org/active/2021/act.html
【事務局からのお知らせ】
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第210号
発信日:2021年4月30日
発 行:JNSA事務局 office@jnsa.org
*************************************