OCI Key Management: Oracle Cloudでデータを保護するキー

※ 本記事は、FREDERICK BOSCOによる”OCI Key Management: The key to protecting your data in Oracle Cloud“を翻訳したものです。

Oracle Cloud Infrastructure (OCI) Key Management Service (KMS)は、OCIに格納されたデータの暗号化キーの一元管理と制御を提供するクラウドベースのサービスです。

OCI KMSは、次の点で役立ちます:

• 暗号化キーの格納と管理を一元化することで、キー管理を簡素化します。
• 対称キーおよび非対称キーなどの各種暗号化キー・タイプをサポートすることで、保存中および転送中のデータを保護します。
• OCIへのBring Your Own Keys (BYOK)やOCIでの作成、またはHold Your Own Keys (HYOK)によるOCI外部での作成など、セキュリティおよびコンプライアンス要件の一部に対処できます。また、FIPS 140-2レベル3認定ハードウェア・セキュリティ・モジュール(HSM)を使用して、暗号化キーを格納および保護することもできます。
• ストレージ、データベース、Fusion Applicationsなどに関連する他のOCIサービスで暗号化を簡単に使用して、これらのサービスに格納されているデータを保護します。

OCI暗号化サービス

OCI暗号化サービスは、次のカテゴリに分かれています:

• Oracle管理の暗号化: Oracleが暗号化キーを管理するため、アプリケーションのみの管理に集中できます。
• 顧客管理の暗号化: 暗号化キーおよびこれらを格納するHSMを管理します。

OCI KMSに基づくサービス

OCI KMSは顧客管理の暗号化であり、次のサービスを提供します:

OCI Vault

Vaultは、OCI HSMでホストされているキーを制御し、OracleがHSMを管理できる顧客管理暗号化サービスです。Vaultには、次のオプションがあります:

• Virtual Vault: Virtual Vaultは、キーが他の顧客のキーもホストするHSMパーティションに格納されるマルチテナント暗号化サービスです。Vaultのデフォルトの暗号化サービスです。
• Private Vault: Private Vaultは、テナンシに分離された専用コアを備えた専用HSMパーティションにキーを格納するシングルテナント暗号化サービスです。

どちらのVaultオプションでも、次のいずれかの方法で格納されたマスター暗号化キーを作成できます:

• HSM保護: すべての暗号化操作およびキーの格納は、HSM内にあります。
• ソフトウェア保護: すべての暗号化操作およびキーの格納はベア・メタル・サーバーにあり、HSMのルート・キーを使用して保存時に保護されます。

OCI Vaultには、Virtual VaultとPrivate Vaultの2つの価格モデルがあります。Virtual Vaultでは、HSMで保護された最初の20個のキー・バージョンが月単位で無料です。OCIは、後続のキー・バージョンを1か月あたり、キー・バージョンあたり$0.5334のレートで課金します。ソフトウェアで保護されたキーは自由に使用できます。Private Vaultの場合、OCIは、作成したキー・バージョンの数に関係なく、Private Vaultあたり3.724ドルの料金を請求しますが、Private Vaultでサポートされているキー・バージョンの最大数は3,000です。

OCI Vaultの制限は、Vaultとキー・バージョンの2つのリソースに適用されます。これらの制限はリージョナルであり、ビジネス・ニーズに基づいて制限の変更をリクエストできます。Virtual Vaultには、Vaultあたり10個のVaultと100個のキー・バージョンという制限があり、OCI Free Tierに含まれています。Private Vaultの使用を開始する前に、Private Vaultの制限を明示的にリクエストする必要があります。OCIがリクエストを承認した後、Vaultあたり最大3,000個のキー・バージョンを作成できます。Private VaultはFree Tierに含まれません。

OCI専用KMS

近日提供予定の専用KMSは、暗号化キーを格納および管理するための完全に分離された環境を提供するサービスとしてのシングルテナントHSMパーティションです。Private Vaultと専用KMSの違いは、HSMパーティションの制御です。専用KMSを使用すると、HSMパーティションの所有権を制御および要求し、PKCS#11などの標準インタフェースを使用して暗号化操作を実行できます。Oracleは引き続き、セキュリティおよびファームウェアのパッチ適用のためにこれらのHSMパーティションを管理します。デフォルトでは、作成するOCIリージョンのすべてのHSMクラスタに3つのHSMパーティションがあります。これらのパーティションは自動的に同期されるため、アプリケーションはそれらのいずれかを使用してワークロードをパラレルに処理できます。

OCIは、HSMパーティションあたり1時間あたり1.75ドルのレートで専用KMSを課金しています。3つ以上のHSMパーティションで、OCIは1時間当たり5.25ドルを請求します。

Private Vaultと同様に、HSMパーティションの制限を明示的にリクエストする必要があります。3つの専用の同期済HSMパーティションなど、HSMクラスタごとに最大3,000個のキー・バージョンを作成できます。

OCI外部KMS

外部KMSを使用すると、独自のサードパーティのキー管理システムを使用して、OCIサービスのデータを保護できます。OCIの外部でキーとHSMを制御し、それらのHSMの管理および管理性を担当します。マスター・キーは常にOCIの外部に格納され、KMSにはインポートされないため、暗号化および復号化操作はOCIの外部で実行されます。

OCIでは、外部KMSの料金を、1か月あたり3.00ドルのキー・バージョンで課金しています。これらのキー・バージョンは、OCIで作成されたリソースを参照します。外部KMSで最初にサポートされたサードパーティ・ベンダーであるThalesに、キー管理価格についてお問い合せください。

OCI外部KMS制限はリージョナルであり、ビジネス・ニーズに基づいて制限の変更をリクエストできます。OCIでは、Vaultごとに10個のVaultと100個のキー・バージョンを設定できます。キー・バージョンは、Thalesに格納されている実際のキー・マテリアルを指す参照です。

次の表に、各OCI KMS製品の主な機能をまとめます:

適切なOCI KMSソリューションの選択

組織に適したOCI KMS製品は、特定の制御、セキュリティ、およびその他の要件によって異なります。次の要因を考慮してください:

• セキュリティ要件: 組織でキーをシングルテナントHSMに格納する必要があり、マスター暗号化キーがHSMをプレーン・テキストのままにしない場合は、OCI Private VaultオプションまたはOCI専用KMSを検討してください。これらの製品は、OCIの暗号化キーに対するより高度な制御と分離を提供します。
• コンプライアンス要件: 組織で暗号化キーをオンプレミスに格納する必要がある場合、OCI外部KMSが適切なオプションになる可能性があります。
• コスト: OCI Virtual Vaultは、顧客管理の暗号化のための最もコスト効率の高いオプションです。OCI専用KMSとOCI外部KMSは高コストですが、暗号化鍵やHMSの制御に関する独自の要件を満たすことができます。

まとめ

OCI KMSは、幅広いお客様のニーズを満たすさまざまな暗号化サービスを提供しています。組織固有のセキュリティおよびコンプライアンス要件に基づいて、適切なオファリングを選択できます。

どの暗号化製品が適切かわからない場合は、これらのブログ、FAQを参照するか、Oracle Cloud Infrastructureアカウントにサインインするか、サポートにお問い合せください。

未リリースの機能に関するディスカッションは、オラクルの一般的な製品の方向性の概要を説明することを目的としています。また、情報提供を唯一の目的とするものであり、いかなる契約にも組込むことはできません。マテリアルやコード、機能を提供することのコミットメント(確約)ではないため、購買決定を行う際の判断材料になさらないでください。Oracle製品に説明されている機能の開発、リリース、タイミングおよび価格は、Oracle Corporationの単独の裁量により変更される場合があります。