情報資産の価値がますます高まる現代社会において、暗号技術はデータセキュリティに不可欠な役割を果たしている。データを安全に保護するためには、単に暗号化するだけでなく暗号鍵を適切に管理することが求められるが、暗号鍵管理のパラダイムはクラウドの普及に伴い複雑化している。
本稿は、暗号技術の最新動向について解説するシリーズ記事の1つであり、暗号鍵管理の重要性を解説する。また、クラウドとオンプレミスにおける暗号鍵管理方式の種類や選定ポイントを紹介する。
前段のシリーズ記事では耐量子計算機暗号(PQC)やクリプトアジリティ、クリプト・インベントリなどについて解説しているため、あわせてご参照いただきたい。
<関連ブログ>
耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説
PQC移行の鍵「クリプトアジリティ」とは?|変化の時代を生き抜くセキュリティ設計
データを第三者による窃取や改竄から保護するために暗号技術が利用されており、暗号技術を支える一要素として暗号鍵がある。暗号鍵とは、データの暗号化およびその復号に使用される情報である。
本節では、暗号鍵が適切に管理されていない場合のリスクシナリオを過去の被害事例とともに紹介し、暗号鍵管理の重要性を解説する。
以下は暗号鍵の不正利用による国内の被害事例であり、その被害規模は小さくないことが分かる。
両事例は、いずれも外部からのサイバー攻撃が引き金となっている。しかし、被害が拡大した原因に、暗号鍵を適切に管理できていなかった点があると考えられる。すなわち、攻撃の有無にかかわらず、「暗号鍵管理プロセス」そのものが堅牢でなければ、同様の被害が発生しうる。
このため、内部要因まで含めたリスクシナリオの想定が重要となる。例えば、従業員による操作ミスで鍵が削除されてしまうケースや、設定ミスや権限の過多によって意図しない人物が暗号鍵にアクセスできるケースなどをあらかじめ洗い出し、鍵の生成・保管・配布・利用・廃棄の各フェーズに統制を組み込む必要がある。
暗号アルゴリズムの強度が向上していたとしても、暗号鍵管理プロセスに欠陥があれば十分な防御は成立しない。暗号化と同等に「暗号鍵管理」がデータ保護における要であることを認識し、アクセス制御や監査ログ、バックアップなどの多層的な管理策を整備することが重要である。
本節では、暗号鍵管理を求める法規制やガイドラインを紹介し、暗号鍵管理の重要性を解説する。
暗号鍵管理の必要性は各法規制や業界のガイドラインで規定されており、企業はこれらの要件に従うことを求められる場合がある。以下に暗号鍵管理への言及がある法規制やガイドラインの例を示す。
暗号鍵管理のベストプラクティスが体系的に整理された国際的なガイドラインであるNIST SP 800-57では、暗号鍵のライフサイクル全体にわたる管理方法が詳述されている。具体的には、暗号鍵の生成、移送、導入、利用、保管、バックアップ、廃棄といった暗号鍵の状態遷移において留意すべき事項が記載されており、暗号鍵管理の運用設計を検討するにあたって活用すべき重要な指針となっている。
暗号鍵のライフサイクル管理については別記事でも解説しているため、ご参照いただきたい。
暗号資産保護における 「鍵管理」の重要性|鍵のライフサイクルを踏まえた運用設計が不可欠
AWSやAzure、GCP、OCIなどのクラウドサービスプロバイダ(以下、CSP)ではKey Management Service(以下、KMS)が提供されている。これにより、データや暗号鍵をオンプレミスだけでなくクラウドにも安全に保管できる選択肢が増えた一方、構成パターンが多様化し、最適な管理方法の選定が難しくなっている。
本章では、クラウドとオンプレミスにおける暗号鍵管理方式の種類や特徴、選定時のポイントを解説する。
クラウドとオンプレミスにおける暗号鍵管理方式は、以下に示す通り、暗号鍵の生成場所や保存場所、データの暗復号場所や保存場所、暗号鍵の管理責任の所在という5つの観点で分類できる。
クラウドにおける暗号鍵管理方式としては、クラウドネイティブの構成に加え、クラウドとオンプレミスを組み合わせた3種類、BYOK(Bring Your Own Key)、HYOK(Hold Your Own Key)、BYOE(Bring Your Own Encryption)[1]が存在する。
暗号鍵管理方式の選定にあっては、可用性やコストのみならず、運用保守性、スケーラビリティ、および利用者が確保できる暗号鍵管理の裁量を総合的に評価することが大切である。以下ではクラウドネイティブ及びBYOK、HYOK、BYOEについて、選定時の着眼点を整理する。
クラウドネイティブは、CSPが提供する冗長構成と自動スケール機能をそのまま享受できるため、可用性とスケーラビリティが最も高い。また、BYOKはクラウドで暗復号処理が完結するため、クラウドネイティブと同様の冗長構成による高い可用性とスケーラビリティを期待できる。一方、HYOKとBYOEはオンプレミス環境で暗号鍵保管または処理するため、オンプレミス側のインフラ障害や遅延がシステム全体に波及し、可用性が劣り、拡張時にはオンプレミス設備の増強が必要となる可能性がある。
クラウドネイティブは、暗号鍵管理・障害対応を CSPのマネージド機能に委ねられるため、運用保守の負荷が最小となる。BYOK、HYOK、BYOEはオンプレミス資産の監視と保守が不可欠であり、運用範囲が拡大する傾向がある。ただし BYOKのオンプレミス構成は最小限で済むため、HYOK及びBYOEと比較して運用負担は低くなると考えられる。
クラウドネイティブおよび BYOKは、専用回線やオンプレミス機器の追加投資が不要であるため、BYOE とHYOK に比べてコストが低く抑えられると考えられる。BYOE及びHYOKでは、リアルタイム暗復号を支える高信頼ネットワークおよびHSMなどの暗復号できる機器が必要となる可能性が高く、初期投資・保守費用が増大する傾向がある。
CSPに依存しない完全な暗号鍵管理の掌握を要する場合には HYOK または BYOE が望ましい。両方式は暗号鍵をクラウドに保存しないため、CSP の内部不正や設定ミスによるリスクを低減できる。ただし HYOK では暗復号処理時にクラウド側メモリへ平文鍵が一時的にロードされるため、メモリダンプ攻撃による漏えいリスクが残存する。BYOK は暗号鍵をクラウドに提出した時点で管理責任を一部CSPに委譲するが、CSPのKMS 機能を活用できる。クラウドネイティブは鍵生成から保管までフルマネージドであるため、利用者の裁量は最小となる。
上記の観点以外にも最適方式を決定する際には、以下の要素も評価することが望ましい。
・対象データの機密性と分類
・外部/内部システム連携要件
・権限設計と運用体制
・要求されるパフォーマンス、災害対策レベル
・関連法規制(個人情報保護法、PCI DSS、医療情報ガイドライン等)
・鍵の保管場所に関する地政学的・経済安全保障上の要請(例:国内オンプレミス環境での運用が望ましいか)
・自社セキュリティポリシーとの整合性
・想定リスクシナリオ(内部不正、サプライチェーン攻撃、ランサムウェア等)
上の表に示した選定観点をチェックリスト化し、各方式のリスクとコストを多角的に比較した上で、自組織の事業特性とセキュリティ要件に最適な暗号鍵管理方式を判定することが重要である。
暗号化技術は組織の情報資産の保護に不可欠であり、その根幹となるのが暗号鍵管理である。IT環境の多様化やクラウドサービスの普及により、暗号鍵管理の手法は多様化しているものの、「暗号鍵の適切な生成・保管・利用・廃棄」という基本原則の重要性は変わらない。
暗号鍵が漏洩した場合、強固な暗号アルゴリズムを用いていても機密性は維持できず、どこで、どのように、誰が暗号鍵を管理するかの設計と運用が、安全性を決定づける重要な要素となる。
クラウド分野においては、本稿で取り上げたクラウドネイティブ、BYOK、HYOK、BYOEなどの各種方式は、それぞれ特性やリスクが異なる。運用効率を重視してCSPに鍵管理を委託すると内部統制上のリスクが残存し、HYOKやBYOEのようにクラウド外で鍵管理を行えばCSPに起因するリスクを低減できる一方で、運用負荷やネットワーク依存性が増すなど新たな課題も生じる。そのため、自社のリスクシナリオ、法規制、運用体制などを総合的に評価し、最適な方式を選択し運用しなければならない。
加えて、耐量子計算機暗号(PQC)など暗号技術の進展にも対応できるよう、鍵管理体制やライフサイクルの定期的な見直しと、法規制・業界ガイドラインの順守が求められる。
オンプレミス、クラウドを問わず、厳格な暗号鍵管理の実践こそが情報資産の安全性を支える基盤である。今後も技術動向を注視し、最適な鍵管理体制の継続的な整備を推進することが不可欠である。
NRIセキュアテクノロジーズでは、耐量子計算機暗号(PQC)やクリプトアジリティの最新動向に加え、クラウド環境における鍵管理方式(BYOK/HYOK/BYOE)、さらには経済安全保障関連法を含む各種規制の変化についても、継続的な調査・研究や情報収集を通じて理解を深め、その知見をお客様への支援に役立てている。
また、金融機関や製造業をはじめとする多様な業種のお客様と向き合い、鍵管理のセキュリティ強化に関する支援を継続してきた。
お客様のシステム環境やビジネス要件を踏まえ、中長期的な視点で鍵管理のあるべき姿をともに考え、具体的な対策をご提案することを心がけている。
鍵管理や暗号技術に関してお困りのことがあれば、どうぞお気軽にご相談いただきたい。
[1] : Cloud Data Protection ver1.0
CSA ジャパン データセキュリティワーキンググループ
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2021/08/Cloud_Data_Protection2_V10.pdf