IBM Cloud Blog

SSLオフロード、データベース暗号化、アプリケーション暗号化の鍵となる”KYOK”とは

記事をシェアする:

この投稿は、2020年11月30日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。

クラウド上で機密データを保護する場合には、お客様は内部および外部の脅威からデータを確実に保護したいと考えています

そのためには、データを暗号化するとともに、データの暗号化キーをハードウェア・ベースのセキュリティーで保護する必要があります。

IBM Cloud Hyper Protect Crypto Services は、「Keep Your Own Key(KYOK)」(自分の鍵の保持)機能をお客様に提供することで、業界最高レベルの暗号化キー保護を提供します。

 IBM Cloud Hyper Protect Crypto Servicesとは?

IBM Cloud Hyper Protect Crypto Services  は、シングル・テナント型の鍵管理サービスで、クラウド・ハードウェア・セキュリティー・モジュール(HSM)サービスです。鍵の保管は、FIPS 140-2レベル4認証を取得したハードウェア上に構築され、お客様が管理する専用のクラウドHSMによって提供されます。KYOKは、お客様のみが暗号化キーにアクセスできる排他的なキー・コントロールを可能にするように設計されています。IBMクラウド管理者などの他の特権ユーザーは、暗号化キーにアクセスすることができません。

IBM Cloud Hyper Protect Crypto Services  は、クラウド・コマンド・ライン・インターフェイス(CLI)またはスマート・カードを使用して、キー・セレモニーを介してサービス・インスタンスを初期化する(参照:リンク(英語)、マネージド・クラウド HSM サービスです。IBM が HSM のプロビジョニング、監視、および HA とバックアップの管理を行い、お客様は HSM の制御を保持します。マスター・キーはバックアップされません。

新しいのはどんな点でしょうか?

IBMはこのたび、ステートフル・バージョンのPKCS #11のサポートを発表しました。Hyper Protect Crypto Servicesをクラウド・ハードウェア・セキュリティー・モジュール(HSM)として、以下のような、トランスポート層セキュリティー /セキュア・ソケット層(以下TLS/SSL ) オフロード、PKCS#11サポートによるデータベース暗号化、アプリケーション・レベルの暗号化といったユース・ケースで使用できるようになりました。

TLS/SSL オフロード

TLS/SSLは、コンピューター・ネットワーク上で通信のセキュリティーを提供するために設計された暗号化プロトコルです。ウェブ・サーバーのコンテキストでは、TLS/SSLプロトコルは、ウェブ・サイトのユーザーがウェブ・サイトを偽装している人がいないことを確認できるように、ウェブサイトのアイデンティティーを確立することを可能にします。これは、公開鍵と秘密鍵のペアを通して行われます。

Hyper Protect Crypto Servicesは、TLS/SSL秘密鍵を専用のHSMに安全に保存しながら、ウェブ・サーバーへの安全な接続を確立するためのTLSハンド・シェイク中に行われる暗号化処理をオフロードする方法を提供します。Nginx プロキシから TLS をオフロードするためのサービスの使用方法については、チュートリアルを参照してください。

PKCS #11 supportを使用したデータベース暗号化

hpc2

Hyper Protect Crypto Servicesを使用すると、Oracle® データベースを透過的データ暗号化(TDE)を使用して暗号化し、IBM Db2® データベースをDb2のデフォルト暗号化を使用して暗号化することができます。Hyper Protect Crypto Services PKCS #11ライブラリーは、データベースをHyper Protect Crypto Servicesに接続して暗号化操作を実行します。 この方法の例については、Oracle 透過的データ暗号化 (TDE) チュートリアルおよび Db2 チュートリアルを参照してください。

アプリケーション・レベルの暗号化

アプリケーション・プログラマーは、暗号化を要求したり、アプリケーション・データに署名したりするために、標準のPKCS #11 APIを使用してアプリケーションを設計・開発することができます。署名、署名検証、メッセージ認証コード、より高度な暗号化スキームなど、高度な暗号化操作をフル・レンジで利用することができます:

hpc3

GolangとJavaScriptでGREP 11を使用するためのコード・サンプル(英語)をご用意していますので、ぜひお試しください。

Hyper Protect Crypto Servicesは、IBMの公開鍵暗号標準のステートレス実装であるEnterprise PKCS #11 over gRPC (GREP11)を介して、すでに暗号操作をサポートしています。

  • ステートフル実装である PKCS #11 は、アプリケーションのトランザクションや、データベースの暗号化スキーム、フィールド暗号化、デジタル署名など、より高度な暗号化が必要な場合に適しています。
  • ステートレス実装(EP11)は、お客様がが複雑なトランザクションを処理する際に、開始した時点で完了させる必要がなく、事実上無制限の鍵数と進行中のトランザクションをサポートしたいと考えているアプリケーションに適しています。また、キー・ストアやキー・ストア・タイプの管理が必要なデジタル資産保管領域でのユース・ケースが可能になります。

GREP11 APIとPKCS #11 APIの比較を理解すると、アプリケーションの正しい選択に役立ちます。

無料のプロモーション・コードHPCRYPTO30で無料でお試しいただけます

新規のお客様向けに、IBM Cloud Hyper Protect Crypto Servicesに適用できる3,120米ドルのクレジットをご提供しています。Hyper Protect Crypto Services のインスタンスを作成する際に、プロビジョニングする暗号化ユニットの数を指定します。デフォルトのオプションは、高可用性を実現するための2つの暗号化ユニットで、月額料金は暗号化ユニットごとに設定されています。

ご利用の際にプロモコード HPCRYPTO30 を使用するだけで、最初の 30 日間は 2 つの暗号ユニットを無料で利用できます。IBM アカウントへのプロモーション・コードの適用方法については、こちらのガイドを参照してください。簡単な手順で利用することができますので是非ご利用ください:

  • ステップ 1: IBM Cloud アカウントにログインするか、作成します。 (注: 先に進む前に、アカウントが従量課金アカウントまたはサブスクリプション・アカウントにアップグレードされていることを確認してください)。
  • ステップ 2: アカウント内で、[管理] をクリックし、ドロップダウン・リストから [請求および使用量] を選択します。
  • ステップ3: [プロモーション]を選択し、コード「HPCRYPTO30」を入力し、[適用]をクリックします。
  • ステップ4: IBM Cloudコンソールに戻り、新しいHyper Protect Crypto Servicesインスタンスのプロビジョニングを開始します。

上記のプロモーションは期間限定です。このプログラムは条件などによりご利用いただけない場合があります。各プロモーション・コードはお一人様1回のみご利用いただけ、他のプロモーション・コードとの併用はできませんのでご了承ください。

関連するプレスリリース(日本語抄訳版)もあわせて参照いただけますと幸いです。


翻訳:IBM Cloud Blog Japan 編集部

*このブログは、2020/11/30に発行された”Keep Your Own Key for SSL Offloading, Database Encryption, and Application Encryption ” (英語) の抄訳です。

More IBM Cloud Blog stories

セキュリティー・ロードマップ

IBM Cloud Blog

統合脅威管理、耐量子暗号化、半導体イノベーションにより、分散されているマルチクラウド環境が保護されます。 2023 安全な基盤モデルを活用した統合脅威管理により、価値の高い資産を保護 2023年には、統合された脅威管理と ...続きを読む


量子ロードマップ

IBM Cloud Blog

コンピューティングの未来はクォンタム・セントリックです。 2023 量子コンピューティングの並列化を導入 2023年は、Qiskit Runtimeに並列化を導入し、量子ワークフローの速度が向上する年になります。 お客様 ...続きを読む


ハイブリッドクラウド・ロードマップ

IBM Cloud Blog

コンポーザブルなアプリケーション、サービス、インフラストラクチャーにより、企業は複数のクラウドにまたがるダイナミックで信頼性の高い仮想コンピューティング環境の作成が可能になり、開発と運用をシンプルに行えるようになります。 ...続きを読む