OCI KMS Private Vaultの自動キー・ローテーションが一般提供開始!

※ 本記事は、FREDERICK BOSCOによる”Automatic key rotation in OCI KMS Private Vault now generally available!“を翻訳したものです。

サイバーセキュリティの分野では、キーは単なるアクセスポイントではありません。機密データの保護者です。同じロックとキーを何年も使ってみましょう。便利ですが、摩耗や破損に弱くなり、誰かが選ぶことが容易になります。暗号化キーについても同様です。静的キーは時間の経過とともに脆弱になる可能性があります。つまり、キー・ローテーションが行われるため、Oracle Cloud Infrastructure (OCI) Key Management Service (KMS)は潜在的な脅威に先んじることができます。

キーをローテーションする理由?

自動キー・ローテーションは、次の機能によりリスクを軽減します:

• 危殆化されたキーの影響を制限: 潜在的な破損は、その特定のキー・バージョンで暗号化されたデータに含まれます。別のキーを使用しているため、新しいデータを復号化できません。
• コンプライアンス要件への対応を支援: 多くの規制では、特定の間隔でキー・ローテーションが義務付けられています。自動キー・ローテーションにより、この問題が簡略化され、監査の負担が軽減されます。
• 全体的なセキュリティ体制を強化: プロアクティブなキー管理は、データ・セキュリティへのコミットメントを示し、利害関係者との信頼を促進します。

OCI KMSは以前、オンデマンドでスケジュール外のキー・ローテーションをサポートしていました。OCI KMS Vault(Private Vault)での自動キー・ローテーションの一般提供(GA)をお知らせします。自動キー・ローテーションは、選択した任意の日に特定の間隔でスケジュールできます。オラクルでは、バックグラウンドでローテーションをシームレスに管理し、アプリケーションの成長に合せて簡単にスケーリングできます。

Oracle Cloudコンソールで選択すると、この機能をアクティブ化できます。自動キー・ローテーションは、キー・タイプ(HSMまたはソフトウェア)や暗号化方法(対称または非対称)に関係なく、レルム間のすべてのPrivate Vaultユーザーが使用できます。

主な機能

OCI KMS Vaultの自動キー・ローテーションには、次の機能と利点があります:

• 個別構成: 自動キー・ローテーションを使用すると、Private Vault内でキーごとにローテーションを構成できます。この粒度により、個々のキーおよびアプリケーションの特定のニーズに合わせてローテーション戦略を調整できます。
• 柔軟なスケジューリング: 開始日とローテーション間隔を60日から365日(デフォルトは90日)に設定して、特定の要件に一致させます。ローテーションは設定した間隔でほぼ発生し、最後に成功したローテーション日以降のローテーションが行われます。KMSは、設定された間隔の数日前にローテーションを開始することを意味する場合でも、コンプライアンス・ニーズを満たすために、ローテーション間隔またはその前にローテーションが行われるようにします。
• 透過的な更新: KMSのキー・ローテーションでは、新しいデータが使用可能になり次第、新しいキー・バージョンを使用して新しいデータを暗号化します。古いデータは、明示的に再暗号化を選択するまで、以前のキー・バージョンで暗号化されたままです。この動作は、自動キー・ローテーション機能と一致したままです。
• 詳細な監査: OCIロギング・サービスの詳細な監査ログを使用して、すべてのローテーションを追跡できます。また、自動ローテーション操作をOCIイベント・サービスと統合しているため、ローテーション・イベントとその成功または失敗のステータスをサブスクライブして通知を受けることができます。これらのリアルタイム通知により、問題に迅速に対処し、堅牢なセキュリティ体制を維持できます。
• クロスリージョン・レプリケーション: プライベートKMS Vaultがクロスリージョン・レプリケーションに対して有効になっている場合、ソースの自動キー・ローテーションによって、新しいキー・バージョンが宛先リージョンに自動的にレプリケートされます。
• バックアップとリストア: 自動キー・ローテーション間隔はバックアップされません。そのため、鍵を復元するときは、オートローテーション・ポリシーを再度設定する必要があります。
• スケジュールされたキーの削除: キーの削除がスケジュールされている場合、自動ローテーションは一時停止されますが、無効にはなりません。そのため、キーをアクティブ状態に戻すと、キーの作成時に最初に設定されていた自動ローテーション・ポリシーが続行されます。

サポートされているOCIサービス

OCI KMS Vault(Private Vault)の自動キー・ローテーションにより、ストレージ、シークレット、証明書など、多くのOCIサービスのセキュリティが簡素化されます。これらのサービスでは、KMS APIによるキー・ローテーションが義務付けられ、スケジュールされたキー・ローテーションのメリットが得られます。余分な作業は必要ありません!

ただし、ExadataやAutonomous Databaseなどのデータベース・クラウド・サービスには、別の事例があります。キー・ローテーションには個別のデータベース・ツール(KMS APIではなく)を使用する必要があるため、これらのツールはまだこの機能と統合されていないため、直接的なメリットはありません。

Oracle Cloudコンソール・エクスペリエンス

OCI KMSでは、Oracle Cloudコンソールに次の利点があります:

• OCI KMSの自動キー・ローテーションでは、データの保護に手間がかかります。これをオンにするには、新しいキーを作成するときに1つの選択が必要です。キーは既にありますか? 問題ありません! 後で「Edit」オプションを使用してアクティブ化できます。
• デフォルトでは、キーは90日ごとにローテーションされますが、必要に応じて間隔をカスタマイズできます。このローテーションは、オフにするか、キーの削除をスケジュールするまで続行されます。
• 常にトップを維持したいですか? 各キーの次のローテーション日と最後のローテーションの成功日を簡単に表示できます。さらに、何度も試行してもローテーションが失敗した場合、APIとコンソールにエラーが表示され、後でローテーションを再スケジュールできます。
• OCI Eventsは統合されていますか? エラーが事前に通知されるため、キーを手動でローテーションし、コンプライアンスを維持できます。

価格と制限

OCI KMS Vault(Private Vault)では、自動キー・ローテーションが追加コストなしで含まれています。Vaultにはまだ同じ3,000キー・バージョン制限があります。各ローテーションでは、その制限の一部が使用されます。対称キー・ローテーションには1つのキー・バージョンが使用され、非対称キー・ローテーションには2つのキー・バージョンが使用されます。

次のステップ

自動キー・ローテーションにより、キー管理の簡素化、セキュリティの強化、および規制への容易な準拠が可能になります。今すぐセキュリティ体制をアップグレードしましょう! この機能の動作の詳細は、テクニカル・ドキュメントを参照してください。

しかし、それを学ぶ最善の方法は、それを試してみることです! Oracle Cloud Infrastructure Security製品の詳細とFree Tierアカウントへのサインアップ、および詳細については、当社のWebサイトをご覧ください。

詳細は、次のリソースを参照してください:

• OCI Key Management
• OCI Key Managementポートフォリオ
• OCI Key Management FAQ