※ 本記事は、Anthony Assiによる”Oracle sovereign cloud solutions: Secure your data with enhanced cryptographic solutions“を翻訳したものです。

2023年8月10日

このブログは、クラウドにおけるデータ・ソブリンに関するマルチパート・シリーズのパート5です。

毎年、世界中で生成されるデータ量の急激な増加を見ています。また、組織や個人が、このすべてのデータがどこにどう使われるか、そのデータがどのように使用されるかについて、より多くの質問を始めています。「データ・ソブリン」という言葉は、単にプライバシーの専門家が話し合っているだけではなく、現在は、主要なニュース・アウトレット全体にわたって定期的に見出しを立てているのが見られます。ただし、データ・ソブリンは複雑で微妙なものになる可能性があり、多くの場合、回答よりも多くの質問が残ります。

データ・ソブリンを結果とみなすのではなく、このシリーズを作成して、組織が場所レルムの分離アクセス管理人員要件など、ソブリン・クラウド戦略を構築するために使用できるさまざまなコンポーネントを探りました。

このシリーズの初めに、クラウド・リソースおよびデータへのアクセスの管理方法、およびその他の保護手段によって、不正アクセス、収集、使用またはデータの開示の防止にどのように役立つかについて説明しました。この投稿では、機密データを保護し、セキュリティ体制を強化し、エンド・カスタマーとの信頼を構築するために、セキュリティの層を増やす方法について説明します。

Vaultとハードウェア・セキュリティ・モジュールでデータ・セキュリティを強化

暗号化ソリューションを使用すると、機密性、整合性、可用性およびデータへのアクセスの制御を維持できます。Vaultおよびハードウェア・セキュリティ・モジュール(HSM)を使用した暗号化キーおよびシークレットの管理について詳しく説明します。

Vaults

Vaultは、パスワード、証明書、SSHキー、認証トークンなど、キーおよびシークレットを作成し、安全に格納する論理エンティティです。Oracleのキー管理サービスであるOracle Cloud Infrastructure (OCI) Vaultは、現在、組織のニーズと予算に対応するために2つのVaultタイプを提供しています。選択したVaultのタイプによって、キー・ストレージの分離度、管理と暗号化へのアクセス、スケーラビリティ、バックアップ、価格設定などの機能と機能が決まります。どちらのオプションでもキーはHSMに格納されますが、専用またはマルチテナントHSMパーティションのいずれかを使用できます。

専用パーティションには、分離、バックアップとリストアおよびリージョン間レプリケーションを提供する仮想プライベートVaultがあります。仮想プライベートVaultには、デフォルトで1,000個のキー・バージョンが含まれます。この程度の分離やVaultをバックアップする機能が不要な場合は、仮想プライベートVaultは必要ありません。仮想プライベートVaultを使用しない場合、必要に応じてキー・バージョンを個別に支払うことでコストを管理できます。

どのオプションを選択しても、OCI Vaultは、Vaultに格納された暗号化キーおよびシークレットのセキュリティと整合性を維持するように設計されています。

ハードウェア・セキュリティ・モジュール

HSMは、キー生成、キー・ストレージ、デジタル署名など、専用の暗号化機能をホスト・アプリケーションに1対1で提供するように設計されています。HSMは、通常のサーバー・メモリーよりもアクセスが困難な特殊なハードウェアであり、従来のセキュリティのベスト・プラクティス設計の一部となっています。OCI Vaultは、連邦情報処理標準(FIPS) 140-2 セキュリティ・レベル3のセキュリティ認証を満たすHSMを使用します。この動作保証は、HSMハードウェアが改ざんが明白であり、改ざん抵抗のための物理的な保護手段があり、IDベースの認証を必要とし、改ざんを検出したときにデバイスから鍵を削除することを意味します。

OCI Vaultでは、HSMを使用して、ユーザーのキーおよび資格証明を保護するためにOCI Vaultによって使用される暗号化キーを保護する信頼のルート(RoT)を生成および格納できます。HSMでOCI Vaultサービスを使用する場合、HSMに格納されているRoTが使用可能であれば、キーおよび資格証明を読み取ることができます。HSMはRoTの抽出を困難にするように設計されているため、このシステムによって、ユーザーのキーおよび資格証明が危険にさらされるリスクが大幅に軽減されます。

A graphic depicting the architecture for OCI Vault showing key types.

グローバルなデータ保護法が共通する点は、個人データの保護および機密データの拡張によって、適切なセキュリティ対策を講じる必要があることです。OCI VaultやHSMなどの信頼できる暗号化ソリューションを使用することで、組織は、OCIに配置されたデータへの不正転送、使用またはアクセスのリスクを制限できます。これらのクラウド・サービスがクラウド・セキュリティ体制を強化する方法と、データ主権戦略の強化にどのように役立つかを見てみましょう。

  • セキュアな鍵管理: OCI Vaultは、キー管理に対する一元的でセキュアなアプローチを提供します。キーは暗号化システムの重要なコンポーネントであり、データの機密性、整合性、および可用性を確保するには、その保護が不可欠です。OCI VaultとHSMは、組織が鍵の生成、配布、ローテーション、失効、破棄など、暗号化鍵のライフサイクル全体を通じて暗号化鍵を生成、保存、保護、管理するのに役立ちます。さらに、お客様はHSMでホストされている独自のセキュリティ・キーを使用して、データを暗号化できます。

  • コンプライアンスと規制の要件: 多くの産業および管轄区域には、個人データおよび機密データを保護するための特定のコンプライアンスおよび規制要件があります。OCI VaultおよびHSMソリューションは、暗号化とキー管理のための堅牢なフレームワークを提供することで、組織がこれらの要件を満たすことを可能にします。Payment Card Industry Data Security Standard (PCI DSS)などのコンプライアンス・フレームワークおよび一般データ保護規則(GDPR)の下で発行されたガイダンスには、セキュアなキー管理プラクティスを使用する必要があります。

  • データ整合性: OCI VaultとHSMは、データの機密性と整合性の確保において重要な役割を果たします。暗号化鍵を安全に管理することで、組織は機密情報を暗号化し、不正アクセスや改ざんから保護できます。OCI Vaultは、強力な暗号化プラクティスを適用し、サードパーティのサービスやクラウド・プロバイダによって格納または処理された場合でも、組織がデータを制御できるように支援します。

  • アプリケーションとシステムのセキュリティを強化: OCI VaultとHSMは、暗号化操作を必要とするアプリケーションおよびシステムに対して、より高いレベルのセキュリティを提供します。キー管理および暗号化操作を専用ハードウェアまたはセキュア・サービスに移行することで、組織は、キー盗難、改ざん、不正使用などの攻撃に対する保護など、OCI Vaultが提供する堅牢なセキュリティ機能の利点を享受できます。

  • 内部脅威からの保護: OCI VaultとHSMは、内部脅威に関連するリスクを軽減するのに役立ちます。適切なアクセス制御と職務の分離により、組織は承認担当者のみに暗号化鍵の露出を制限できます。OCI VaultとHSMは、監査ログと監視機能を提供し、組織がキー管理に関連する不正または疑わしいアクティビティを追跡し、検出できるようにします。

  • 信頼と保証: OCI VaultとHSMを利用することで、組織の暗号化操作のセキュリティにおける信頼と保証を強化できます。業界標準の慣行とテクノロジを採用することで、組織は機密情報の保護に対するコミットメントを実証します。この側面は、顧客、パートナおよび利害関係者との信頼の確立に役立つため、顧客の機密データを処理する企業にとって特に重要です。

OCI VaultとHSMは、OCIの分散クラウド・デプロイメント・モデルのすべてで使用でき、お客様が管理するキーを使用して、お客様データの暗号化を一元的に管理できます。

機密コンピューティングで使用中のデータを保護

最新のデータ・ソブリン戦略のもう1つの重要な要素は、アクティブにアクセスおよび処理されるデータを保護することです。機密コンピューティングにより、顧客は、保存時や転送中だけでなく、使用中でもデータを暗号化したままにできます。機密コンピューティングは、使用中のデータとそのデータをハードウェア・レベルで処理するアプリケーションを暗号化および分離します。

機密インスタンスは、コンピュート仮想マシン(VM)またはベア・メタル・インスタンスで、データを処理するデータとアプリケーションの両方が暗号化および分離され、アプリケーションがデータを処理している間、データまたはアプリケーションのいずれかに対する不正アクセスまたは変更が防止されます。現在、OCIは、AMD EPYCプロセッサを使用するベア・メタルおよびVM上で機密コンピューティングを提供しています。

機密コンピューティングには、セキュリティ体制を強化して機密コンピューティングVMやベア・メタル・サーバーを含める方法を決定する際に、組織が考慮するいくつかの利点があります。機密コンピューティングは、ハードウェアの基本的なレイヤーを通じてセキュリティを提供することで、OS、エコシステム・パートナ、管理者などの信頼できるパーティのリストを最小限に抑え、データ漏洩のリスクを軽減します。ハードウェアの信頼の強化されたルートを通じて、攻撃対象領域が小さくなり、使用中のデータのセキュリティが高まるため、内部脅威やファームウェアの侵害など、いくつかのタイプの脆弱性から保護されます。

機密コンピューティングには、主に次の利点があります。:

  • リアルタイム暗号化による分離の向上

  • データとアプリケーションは、どのアプリケーション、VM、インスタンス、ハイパーバイザ、またはOCIからもアクセスできないVM固有のキーを使用して暗号化

  • 機密VMを有効にするためにアプリケーションを変更する必要なし

  • アプリケーションへの影響を最小限に抑えながら、使用中のデータを保護

  • OCI Computeインスタンスの価格に加えて、追加コストなしで実装

財務、医療、防衛などの規制の厳しい業界では、ライフサイクル全体にわたってデータを保護することが重要です。機密コンピューティングを使用して、OCIコンピュート・インスタンスで使用されているデータを暗号化および分離することで、規制コンプライアンスの達成と維持、およびソブリン・クラウド戦略のサポートに役立ちます。

Oracleのソブリン・クラウド・ソリューションの開始

保存、転送中、または使用中のデータを保護するための適切なツールを持つことは、成功したソブリン・クラウド戦略にとって重要です。OCIを使用すると、顧客はハードウェアおよびソフトウェア・レベルで最新の暗号化ソリューションにアクセスできます。他のクラウド・プロバイダとは異なり、これらの製品は特定のリージョンやデプロイメント・モデルに限定されません。ワークロードをOCIのパブリック・クラウド・リージョン、OCI専用リージョン、またはOCIのクラウド・デプロイメントのいずれかで実行する場合でも、100を超えるOCIサービスにアクセスできます。

OCIの分散型クラウドの機能は、データがどこに配置されているか、どのように保護されているか、誰がそのデータにアクセスできるかを決定する制御を提供するように設計されています。この情報を把握することで、この分野における新しい直感的なソリューションを積極的に開発しています。この投稿で説明する主要な管理ソリューションは、ほとんどのお客様のデータ・ソブリン要件を満たしますが、特定の組織は暗号化鍵をどのクラウド・プロバイダからも分離したままにしたいと考えています。次の投稿では、新しい鍵管理ソリューションを見て、暗号のテーマを継続します。

Vault、HSMまたは機密コンピュートについてご質問がある場合や、Oracleのソブリン・クラウド・ソリューションについて詳しく知りたい場合は、いずれかの担当者にご連絡ください。Oracleが提供する様々なデプロイメント・モデルの詳細は、次のリソースを参照してください。: