エンタープライズ キー管理 (EKM) は、エンタープライズ インフラストラクチャ全体で暗号化キーを保護および管理するための実践、ポリシー、およびテクノロジを指します。これには、保管中、転送中、および使用中の機密データを保護するために使用される暗号化キーの一元的な生成、配布、保管、ローテーション、取り消しが含まれます。

組織は、暗号化キーを制御および管理する際に、多くの課題に直面します。さまざまなインフラストラクチャにわたって使用される大量の暗号化キーを効果的に処理する必要があります。次に、悪意のある内部関係者や外部の攻撃者からこれらのキーを保護することが重要です。データを保護するためにアクセス制御ポリシーを確実に適用することも、重要な側面です。

組織は、さまざまなアプリケーション、データベース、標準から構成される複数の異種環境のニーズに対応する必要があります。規制要件に準拠する必要があり、主要な管理慣行にさらに複雑さが加わります。

多くの組織は、暗号化キーの生成、保管場所、許可されたアクセス、指定された目的、定期的な更新、安全なバックアップなど、暗号化キーに関する包括的な知識を欠いています。

EKM を使用すると、組織はさまざまな規制要件を遵守しながら、データの機密性、整合性、可用性を確保できます。不正アクセスやデータ侵害のリスクを軽減し、インフラストラクチャ全体でデータの制御を維持できます。

エンタープライズ により、機密データのセキュリティが確保されます。

暗号化キーは不正アクセスからデータを保護し、堅牢なシステムはキーの漏洩、盗難、悪用を防ぎます。

効果的なにより、組織は一般データ保護規則 (GDPR) やペイメント カード業界データ セキュリティ標準 (PCI DSS) などの業界固有の標準などの規制コンプライアンス要件を満たすことができます。

一元化されたにより、インフラストラクチャ全体で暗号化キーのシームレスな管理と制御が提供されるため、複雑さが軽減され、運用効率が向上します。

エンタープライズ キー マネージャー

 には、複数の場所や事業単位にわたってシームレスに運用できるという利点があり、地理的に分散したオフィスや部門を持つ大規模組織にとって特に価値があります。このシステムは、さまざまなサイト間での効率的なと同期を可能にすることで、組織全体での一貫した安全な暗号化の実践を促進します。

EKMS は、クラウド サービスや暗号化製品などのサードパーティ システムと統合して、セキュリティ インフラストラクチャ全体を合理化できます。 EKMS は、他のデータ セキュリティ ソリューションまたはアプリケーションと連携することで、への統一されたアプローチを可能にし、プロセスを簡素化します。

たとえば、多国籍企業はエンタープライズ ソリューションを活用して、世界中のオフィス全体で電子メール通信を保護するための暗号化キーを生成および配布できます。また、機密性の高い顧客情報を含むデータベースの暗号化キーを監視し、そのようなデータを確実に保護します。

組織がクラウドベースのファイル ストレージ ソリューションを採用する場合、EKMS はクラウド プロバイダーの暗号化メカニズムと統合でき、クラウドに保存されているファイルを保護するための集中的なが可能になります。

EKM は、暗号化キーを管理するための集中化および標準化されたアプローチを提供し、ライフサイクル全体にわたって適切なキーの生成、保管、保護を保証します。これにより、弱いキーの作成や不正なキーの使用など、キーの誤操作の可能性が最小限に抑えられます。  

一元化されたエンタープライズ KMS は、セキュリティ操作を自動的に記録し、ポリシーを適用することにより、コンプライアンス監査を簡素化します。これにより、組織は GDPR、CCPA、PCI-DSS、HIPAA、SOX などの規制要件や、ISO や FIPS などのセキュリティ標準を満たすことができます。 

EKM を使用すると、組織はデータ主権のために暗号化キーを完全に制御できるようになります。組織は、キーの使用に関するアクセス制御とポリシーを定義することで、許可された担当者のみがキーにアクセスして管理できるようにすることができます。  

EKM は多くの場合、鍵のローテーション、バージョン管理、失効機能を含む堅牢な鍵管理システムとシームレスに統合されます。組織は、定期的な自動バックアップおよび回復手順を実装することで、必要に応じて紛失または侵害されたキーを簡単に復元できます。これらの機能により、定期的なキーの更新が容易になり、キーの侵害が軽減され、堅牢な暗号化の実践が維持されるため、クラウド データのセキュリティ体制が向上します。

企業の鍵管理における課題には、次のようなものがある：

• リソース集約的で複雑：強力なセキュリティ対策を維持し、ハイブリッド環境全体で鍵管理プロセス全体を管理するために十分な時間と労力を割く必要がある。
• 拡張性： 組織がグローバルに拡大するにつれ、さまざまなシステムやアプリケーションで大量の暗号鍵を管理する必要がある。
• コンプライアンス： 鍵管理の実践と監査は厳格な体制と手順に従うため、ポリシーを侵害するデータを超えることはない。
• 統合： 鍵管理システムが既存のシステムやテクノロジーと互換性を持ち、業務に支障をきたさないようにするためには、多大な労力が必要となる。
• アクセスと権限付与： セキュリティーとユーザビリティーの適切なバランスをとる必要がある。つまり、権限のある要員に十分なアクセスを許可する一方で、権限のない個人が暗号鍵をコントロールできないようにする必要がある。
• 鍵の保管： 暗号鍵を物理的、論理的攻撃、内部脅威、不正アクセスから保護するため、改ざん防止デバイスに保管する必要がある。
• 鍵の復元： 鍵の回復を要求する人物の身元を確認し、適切な権限を確保するなどの複雑なプロセスを伴う。リカバリーとバックアップの仕組みが不十分だと、脆弱性が生じ、セキュリティ全体が弱体化する可能性がある。
• キーの同期: 標準化されたアプローチを確立し、最新の IT 環境の動的な性質を管理すると、キー管理の実践やクラウド環境やハイブリッド セットアップなどの分散型または分散型インフラストラクチャに不一致が生じ、同期が複雑になります。

エンタープライズ鍵管理は鍵の生成から始まります。キージェネレータ、AES 暗号化アルゴリズム、乱数ジェネレータなどの安全な方法が一般的に使用されます。組織は、キーが生成される場所のセキュリティを確保して、キーが脆弱になったり、暗号化に適さなくなったりすることを避ける必要があります。

キーの生成に続く、キーのライフサイクルの次のステップは、キーの安全な配布です。機密性を保護するために、TLS や SSL などの暗号化された接続を介して認証されたユーザーにキーを配布する必要があります。中間者攻撃を防止する対策を実装することは、鍵配布プロセスの整合性を維持する上で最も重要です。

キーが配布されると、暗号化操作に使用されます。悪用を防ぐために、許可されたユーザーのみがキーにアクセスできるようにする必要があります。

暗号化後は、将来の復号化を容易にするためにキーを安全に保管する必要があります。最も安全なストレージ方法には、ハードウェア セキュリティ モジュール (HSM) またはクラウド HSM が含まれます。あるいは、キーがクラウド環境で使用される場合は、クラウド サービス プロバイダーが提供する外部キー管理サービスを利用して、安全なキーの保管を確保できます。

キーのローテーションは、キーが暗号化期間の終わりに達すると必要になります。暗号化期間とは、キーが有効な期間を指します。キーのローテーションには、古いキーを廃止し、新しいキーに置き換えることが含まれます。古いキーで暗号化されたデータは、まず復号化され、次に新しいキーを使用して再暗号化されます。定期的なキーのローテーションにより、キーの長期使用に伴うリスクが軽減され、キーの盗難や侵害の可能性が軽減されます。キーが侵害された疑いがある場合、暗号化期間が終了する前にキーのローテーションが発生する可能性があります。

キーが侵害された場合は、キーの取り消しまたはキーの破棄という 2 つのアプローチが取られます。

キー レンダーを取り消すと、暗号化期間がまだ有効であっても、データの暗号化または復号化に使用できなくなります。一方、キーの破棄には、キー マネージャー データベースまたはその他のストレージ システムからキーを永久に削除することが含まれます。この不可逆的なアクションにより、バックアップ イメージが使用可能な場合を除き、キーの再作成が不可能になります。

NIST は、PCI DSS、FIPS、HIPAA などの標準と規制を確立し、機密データを保護するために使用される暗号キーのセキュリティを維持するためのベスト プラクティスに従うことを組織に求めています。以下に一般的な方法を示します。

ハードウェア セキュリティ モジュール (HSM) を使用する: HSM は、暗号化キーを保存し、オンサイトで暗号化操作を実行するように設計された物理デバイスです。 HSM からキーを盗むには、デバイスを施設から物理的に取り外し、HSM へのアクセスに必要なアクセス カードのクォーラムを取得し、キーを保護する暗号化アルゴリズムをバイパスする必要があります。 HSM SaaS は、組織がキーを所有している場合にも同様に効果的です。

最小限の権限を実践します。ユーザーは、作業に必要なキーにのみアクセスできるようにする必要があります。このアプローチにより、キーの使用状況をより適切に追跡できるようになります。キーが悪用されたり侵害されたりした場合、キーにアクセスできる個人の数が制限されるため、組織内で侵害が発生した場合の容疑者プールが絞り込まれます。

自動化の実装: キーが暗号化期間を超えたり、過度に使用されたりしないようにします。キーの作成、定期的なバックアップ、配布、失効、破棄など、キーのライフサイクルの他の側面も自動化できます。

個別の職務: 1 人が新しいユーザーのキーへのアクセスを承認し、別の者がキーの配布を、そして 3 人目がキーの作成を割り当てることができます。この役割分担により、最初の人が配布中にキーを盗んだり、生成中にキーの値を知ることができなくなります。

キーのハードコーディングを避ける: オープンソースまたはその他のコードでキーをハードコーディングすると、そのコードにアクセスできるすべてのユーザーにキー値へのアクセスが許可され、機密データが漏洩する可能性が生じます。

クォーラム承認: 1 人の個人が完全なキーの使用法を承認するのではなく、複数の個人が集まって同意を検証する必要があります。これにより、ピアの責任が確保され、キーの一部が侵害された場合のリスクが軽減されます。

ポリシーの強制: 暗号化キーに関するセキュリティ ポリシーの作成と強制は、多くの組織がキー管理システムの安全性とコンプライアンスを確保するために採用しているもう 1 つの効果的なアプローチです。セキュリティ ポリシーは、組織内の全員が従う必要がある方法を定義し、特定のキーにアクセスできるユーザーを追跡し、キー関連のアクティビティを記録する追加の手段を提供します。

エンタープライズ キー管理 (EKM) は、既存のシステムと統合できます。一般的な考慮事項とアプローチをいくつか示します。

互換性: 業界標準の暗号化アルゴリズムとキー管理プロトコルは、通常、データベース、アプリケーション、ストレージ システム、またはクラウド プラットフォームと互換性があります。

API または SDK の統合: 多くの EKM ソリューションは、開発者が EKM 機能をアプリケーションまたはシステムに統合できるようにする API (アプリケーション プログラミング インターフェイス) または SDK (ソフトウェア開発キット) を提供します。

暗号化ライブラリ: 一部の EKM ソリューションは、EKM システムによって管理されるキーを使用して暗号化および復号化操作を実行するためのインターフェイスを提供する暗号化ライブラリを提供します。コードを大幅に変更することなく、アプリケーションに暗号化機能を追加できます。

暗号化プロキシまたはゲートウェイ: これらの仲介者は、アプリケーションと基礎となるデータ ストレージまたは通信システムの間で機能します。これらは、暗号化リクエストと復号化リクエストをインターセプトし、キー管理と暗号化操作のために EKM ソリューション経由でルーティングします。

ベンダー固有の統合: これらには、一般的に使用されるシステムまたはプラットフォームとの統合を容易にするプラグイン、コネクタ、または拡張機能が含まれる場合があります。

主要な管理慣行を実装する際には、いくつかのコンプライアンスに関する考慮事項を考慮する必要があります。

規制との整合: 主要な管理慣行が GDPR、PCI DSS、HIPAA などの規制と整合していることを確認し、コンプライアンス要件を満たすために必要な管理を組み込みます。キーの有効期限ポリシーを適用して、古いキーや侵害されたキーの使用を防ぎます。

文書とポリシー: 主要な管理プロセス、ポリシー、手順に関する包括的な文書を維持します。鍵管理に関連する役割、責任、アクセス制御を明確に定義します。キーの生成、配布、ローテーション、失効、および破棄の手順を文書化します。この文書は、監査または規制検査の際のコンプライアンスへの取り組みの証拠として役立ちます。

セキュリティ制御: ハードウェア セキュリティ モジュール (HSM) や信頼できるキー管理サーバーなどの安全なキー ストレージ メカニズムを使用します。役割ベースのアクセスや最小権限の原則などの強力なアクセス制御を適用して、許可された個人のみがキーにアクセスして管理できるようにします。

監査と監視: キーの生成、配布、使用、ローテーション、破棄などのキー管理アクティビティのログを維持します。ログを確認して、異常、不審なアクティビティ、または不正なキー アクセスを検出します。コンプライアンスの取り組みを検証し、利害関係者に保証を提供するために、必要に応じて独立した監査人を関与させます。

インシデント対応とレポート: 主要な侵害、侵害、またはセキュリティ インシデントに対処するための手順を含むインシデント対応計画を作成します。コンプライアンス義務に従って、関連当局または規制当局にインシデントを報告するための役割と責任を明確に定義します。迅速な調査と行動のためのガイドラインを定義します。

サードパーティの考慮事項: サードパーティのキー管理サービスとの適切な契約協定を実装し、継続的なコンプライアンスを検証するために定期的な評価を実施します。デューデリジェンスを実施して、必要なコンプライアンス基準を満たしていることを確認します。セキュリティ管理、認証、業界のベスト プラクティスへの準拠を評価します。

データの暗号化と復号化: 安全な暗号化と復号化のプロセスを実装して、保存中、転送中、特にデータ使用中のすべてのデータを保護します。

エンタープライズ キー管理システムは、堅牢なキー回復およびバックアップ メカニズムを備えて設計されており、キーを紛失した場合でも暗号化されたデータを確実に回復できます。これらのシステムでは、権限のある担当者がバックアップからキーを復元したり、キーの回復手順を実行したりできます。

EKM システム内のバックアップ メカニズムにより、暗号化キーの定期的かつ安全なバックアップが可能になり、キーのコピーが常に回復目的で利用できるようになります。

紛失したキーを迅速に回復することで、企業はデータの損失や中断を経験することなく業務を継続できます。これらのシステムは、キー回復シナリオを処理する上で信頼性、安全性、効率性が高くなるように設計されており、組織が暗号化されたデータ保護インフラストラクチャに安心して依存できるようになります。

EKM がこれらの課題にどのように対処するかは次のとおりです。

一元化されたキー管理: 組織は単一ポイントから制御して、複数のクラウド プロバイダーにわたって一貫したキー管理ポリシーを作成および展開できます。

キーのライフサイクル管理: EKM は、キーが安全に作成され、認可されたエンティティに適切に配布され、リスクを軽減するために定期的にローテーションされ、必要に応じて速やかに取り消されることを保証します。

キーの暗号化: EKM キーを安全に保存し、不正なアクセスや改ざんから保護するには、Encryption as a Service、ハードウェア セキュリティ モジュール（HSM）、および HSM SaaS の導入を検討してください。

クラウド プロバイダーとの統合: EKM システムは、さまざまなクラウド サービス プロバイダーのキー管理 API と統合され、組織がクラウド プラットフォームによって提供されるネイティブのキー管理機能を活用できるようになります。

キーの分離と分離: 組織は、クラウド プロバイダーごとに個別の暗号化ドメインを確立できます。キーは、それぞれのドメイン内で安全に保存、管理され、アクセスされたままになります。 EKM は、さまざまな目的またはさまざまなアプリケーションで使用されるキーを確実に分離して、不正アクセスを防止します。

コンプライアンスと監査可能性: EKM システムは、組織が主要な管理慣行を実証し、規制上の義務を遵守し、監査を容易に受けられるようにするコンプライアンス要件をサポートする詳細な監査ログとレポートを提供します。

スケーラビリティと柔軟性: EKM システムは、マルチクラウド環境の動的な性質に拡張して適応するように設計されています。大量のキーを管理し、必要に応じてクラウド プロバイダーやサービスをシームレスに追加または削除できます。

キーの回復とバックアップ: EKM システムには、多くの場合、キーの回復とバックアップのメカニズムが含まれています。キーの紛失または誤った削除の場合、これらのシステムを使用すると、権限のある担当者がバックアップからキーを復元したり、キーの回復手順を実行したりできるため、データ損失のリスクが最小限に抑えられます。

以下は、エンタープライズ キー管理の分野で広く認識されている標準の一部です。

• Key Management Interoperability Protocol (KMIP)。OASIS (Organization for the Advancement of Structured Information Standards) 標準で、キー管理クライアントとサーバー間の通信プロトコルを定義し、相互運用性を実現し、統合を簡素化します。
• NIST Special Publication 800-57 ガイドラインでは、連邦システムにおける暗号キー管理を推奨しています。
• FIPS 140-2 は、機密情報を保護する暗号モジュールのセキュリティ要件を指定する米国政府の標準です。
• ISO/IEC 27001 は、データ セキュリティ管理システムを確立、実装、維持、継続的に改善するための要件を概説する国際規格です。
• OASIS Enterprise Key Management Framework (EKMF) 技術委員会は、エンタープライズ環境で暗号化キーを管理するための標準と仕様を開発しています。

暗号化は、データ レベルでセキュリティを組み込む非常に効果的なデータ保護ソリューションであり、適切な復号キーがなければデータを読み取ることができなくなります。

データ暗号化と暗号キーの管理は、データベース、非構造化ファイル、ハードウェア セキュリティ モジュール (HSM)、オンプレミス、パブリックおよびプライベート クラウド サービス、Software as a Service (SaaS) プラットフォームなど、さまざまな場所で行われます。

Fortanix は、Enterprise Key "Posture" Management (EKPM) と呼ばれる独自のソリューションを提供し、Enterprise Key Management (EKM) に対するよりインテリジェントなデータ中心のアプローチを提供します。これは、ハイブリッド マルチクラウド環境全体でデータ暗号化のリスクを発見、評価、軽減するのに役立ちます。

Fortanix Enterprise Key Posture Management (EKPM) は、暗号化ステータス、ローテーション頻度、サービス/キー マッピング、キー ソース、ハイブリッド マルチクラウド インフラストラクチャ全体のアルゴリズム タイプなどのキーの詳細を含むキーとサービスの一元的なビューを提供することで、検出と可視性を簡素化し、セキュリティ チームとコンプライアンス チームをサポートします。

セキュリティ体制の統合ビューは、悪影響を軽減し、データ漏洩や運用中断のリスクを軽減するのに役立ちます。これにより、組織はデータ セキュリティ全体の戦略的改善に集中できるようになります。

Fortanix Enterprise Key Posture Management (EKPM) は、最も重大なデータ セキュリティ リスクを強調する独自の集約ビューとアラート システムを提供します。これにより、組織はセキュリティ体制を迅速に評価し、その改善を時間の経過とともに追跡できるようになり、リスク軽減のための貴重な洞察が得られます。

Fortanix を使用すると、組織は詳細なレポートを通じてポリシーや規制への準拠を迅速に実証できます。これには、NIST や内部ポリシーなどの標準とのキー ローテーションの調整が含まれており、コンプライアンス ステータスの包括的なビューを提供します。

Fortanix Enterprise Key Posture Management (EKPM) は、エンタープライズ キー管理に対するインテリジェントでスケーラブルなデータ中心のアプローチを提供することで、組織が確立された規制およびデータ セキュリティ ポリシーと標準 (NIST によって概説されているものなど) に準拠できるように支援します。 Fortanix は、データ暗号化のリスクを発見、評価、修復するために必要なツールをセキュリティ チームに提供します。これにより、セキュリティ チームが組織全体でキーの使用状況を検証および監視できるようになり、最終的にはより安全で準拠性の高いデータ環境に貢献します。

Fortanix Enterprise Key Posture Management (EKPM) は、リスクにさらされているデータ セキュリティのギャップを確立された規制およびデータ セキュリティのポリシーと基準に合わせて手動で関連付けおよび分析することを合理化します。この簡素化により時間が節約され、粒度が向上します。

Fortanix の Enterprise Key Posture Management (EKPM) データ駆動型の洞察とコンテキスト豊富な情報により、組織は最も有害なリスクに効率的に優先順位を付けることができます。これにより、迅速な修復が保証され、セキュリティとコンプライアンスに対する全体的な悪影響が軽減されます。

手動による検出プロセスには Excel やカスタム スクリプトなどのツールが必要となることが多く、複雑で時間のかかるワークフローが作成されます。 Fortanix Enterprise Key Posture Management (EKPM) は、自動化されたソリューションを提供することでこれらのプロセスを簡素化し、手動介入の必要性を排除し、大規模な修復の実装と追跡を合理化します。

Fortanix Enterprise Key Posture Management (EKPM) は、キーの自動ローテーション、無効化、削除などの修正アクションを簡素化できます。これにより、データ セキュリティ体制が向上し、キーのライフサイクル管理が強化されます。

Fortanix Enterprise Key Posture Management (EKPM) は、目に見える監査ログと変更をロールバックする機能を提供し、予期せぬ運用上の影響という課題に対処します。これにより、透明性、説明責任が確保され、予期せぬ問題が発生した場合の迅速な回復が保証されます。

セキュリティ担当者の非効率的な使い方は、組織がより戦略的なセキュリティへの取り組みに集中する能力を妨げます。この非効率性により、運用コストと人材の減少が増加し、全体的なセキュリティの有効性が妨げられます。

Fortanix の Enterprise Key Posture Management (EKPM) は、暗号化キーと関連データ サービスの検出を自動化することでセキュリティ要員リソースを最適化し、影響の大きいセキュリティ イニシアチブにより人員をより戦略的に割り当てることが可能になります。

はい、Fortanix Enterprise Key Posture Management (EKPM) は、REST API や、KMIP、PKCS #11、JCE、UDF などのインターフェイスを使用した自動化の取り組みを促進するように設計されています。これにより、組織の既存のインフラストラクチャ内でデータ セキュリティ管理に対する一貫した包括的なアプローチが保証されます。

はい。Fortanix Enterprise Key Posture Management (EKPM) は、主要な SIEM および SOAR ソリューションと統合し、包括的なセキュリティ監視のための改ざん耐性のあるログ分析機能を提供します。

はい。Fortanix Enterprise Key Posture Management (EKPM) は、ServiceNow などのサードパーティの IT チケット発行システムとのシームレスな統合を通じて修復を自動化する、統合されたサービス チケット発行ワークフローを提供します。

暗号化とは、簡単に言うと、アルゴリズムに基づいて平文を意味不明な文 (暗号文と呼ばれる) に変換することを意味します。組織は暗号化を使用して、個人情報、パスワード、秘密情報などの機密データを保護します。クライアント アプリとサーバー間の通信のセキュリティを確保し、向上させます。

たとえば、誰かが暗号化されたデータ (暗号文) にアクセスしたとします。この場合、データを復号化する権限がなければ、エンティティは情報を理解できず、事実上使用できません。この暗号文は、データ暗号化キーを使用してのみ復号化できます。

鍵管理 、暗号化キーの作成、保存、管理、使用、制御、および破棄が含まれます。キー管理戦略は、データの整合性を保護し、複雑な運用環境では機密性と暗号化キーがデータとともにクラウドに保存されるため、非常に重要です。

鍵管理の最善の方法は、組織が鍵を完全に制御できることです。主なアクションは、より詳細な制御、バックアップ、災害復旧のためにキーをデータから分離することです。

より効果的なソリューションは、外部キー管理システムです。ほぼすべてのクラウド ベンダーがこの設定を許可しています。たとえば、サービスとしてのキー管理ソフトウェア (SaaS) です。

最新のキー管理とデータ セキュリティに関するこのバイヤーズ ガイドでは、ベンダーに提示できる質問と、キー管理システムを評価する際に求めるべき最も重要な機能をリストしました。

Key Management Interoperability Protocol (KMIP) を使用すると、異なるシステム間で暗号化キー、証明書、およびシークレットを簡単に共有できます。つまり、どのプラットフォームを使用しても、データは安全に保たれます。  

構造化情報標準推進機構 (OASIS) は、KMIP の開発と管理において重要な役割を果たしています。非営利団体として、OASIS はデータの管理と保護のためのオープン スタンダードを作成、調整、採用することに取り組んでいます。

OASIS は、KMIP を監督することで、プロトコルが強力であり、他のシステムとうまく連携し、最新のセキュリティとテクノロジーに対応できるようにします。この監視により、KMIP は安全なキー管理の信頼できる標準であり続け、さまざまなシステムやベンダー間でのチームワークと一貫性が促進されます。  

これらの通信標準を設定することにより、KMIP はさまざまな鍵管理ソリューションがスムーズに連携できるようにし、暗号資産を処理するための統一された方法を提供します。この種の相互運用性は、特に複数のシステムやデバイスが連携して動作する必要がある場合に、データを安全かつ完全な状態に保つために不可欠です。

KMIP は機密情報の保護を簡素化し、組織が 1 つのベンダーのエコシステムに縛られることなく強力な暗号化戦略を展開および維持できるようにします。この標準化により、異なるプロバイダーのシステムが同じ「言語」を使用できるようになり、暗号化データ転送がシームレスで相互運用可能になります。

たとえば、KMIP を通じて、集中キー管理システムは対称キー、非対称キー、デジタル証明書、認証トークンなどの組織の暗号化要素を統合し、複数のキー管理ソリューションを使用する複雑さを解決できます。 

KMIP を使用すると、パフォーマンスやセキュリティを損なうことなく、キーのライフサイクル管理を完全に制御、柔軟性、可視化できます。

対称暗号化では、1 つのキー (秘密キー) のみでデータの暗号化と復号化が可能です。どちらのキーも、情報を保護するために送信者と対象の受信者の間で共有される共通のコード/秘密を表します。

対称暗号化は高速で、使用するリソースが少なくなります。暗号化されたテキストと平文のテキストの長さは同じです。使用されるキーの長さは 128 ビットまたは 256 ビットです。

大量のデータを効率的に処理できます。たとえば、支払いトランザクション、ユーザー検証、ハッシュなどです。ただし、秘密鍵は送信者と受信者の間で共有され、簡単にハッキングされる可能性があるため、対称鍵の安全性は低くなります。

対称暗号化アルゴリズムの例には、AES (Advanced Encryption Standard)、DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、Blowfish (DES または IDEA のドロップイン代替)、RC4 (Rivest Cipher 4)、RC5 (Rivest Cipher 5)、RC6 (Rivest Cipher 6) などがあります。

非対称暗号化では、キーのペアを使用します。各ペアは公開キーと秘密キーで構成されます。送信者は暗号化に受信者の公開キーを使用し、受信者は復号化に秘密キーを使用します。

公開キーには、暗号化のために誰でもアクセスできます。ただし、秘密キーは秘密に保たれ、発行され、権限のあるエンティティによって管理されます。

非対称キーは、ユーザーの認証、データの整合性の検証、および安全な対称暗号化に使用されます。

たとえば、Web サイトの URL にある HTTPS 南京錠のシンボルは、Web サイトが SSL/TLS 証明書を使用していることを示します。これは、ユーザーが Web サイトに接続すると、SSL/TLSen によってユーザーと Web サイト サーバー間の通信が暗号化されることを意味します。

非対称キー暗号化を使用してサーバーの ID を検証し、ユーザーが対称キー交換を使用して Web サイトと通信できるようにします。

非対称暗号化プロセスは、より多くのリソースを使用し、キーの長さが 2048 以上であるため、遅くなります。そのため、少量のデータの転送に使用されます。

非対称暗号化アルゴリズムの例には、Diffie-Hellman、楕円曲線暗号 (ECC)、El Gamal、デジタル署名アルゴリズム (DSA)、および Rivest-Shamir-Adleman (RSA) などがあります。

HSM グレードのセキュリティを備えたキー管理サービス（KMS）を使用すると、組織は暗号鍵、証明書、シークレットを生成、保存、使用できます。

一元化されたキー管理サービスは、エンタープライズ レベルのアクセス制御とシングル サインイン サポートを備えた一元化された Web ベースの UI を使用して、クラウド上かオンプレミス上かを問わず、すべてのデータ ソースにわたるキー管理操作の制御と可視化を提供します。

「単一画面」により、インフラストラクチャ全体にわたる広範なログ記録と監査を含む管理の簡素化と制御の強化が実現します。

一元化された KMS の重要な要件をいくつか示します。水平方向および地理的に拡張できるように構築する必要があります。自動化された負荷分散、フォールト トレランス、災害復旧、高可用性を提供する必要があります。

ビジネス クリティカルなアプリは、従来の暗号インターフェイスまたは RESTful API を使用して統合できます。統合されたポリシー管理とクォーラム承認は、既存の認証 ID プロバイダーとシームレスに統合できます。

鍵のライフサイクル管理には、暗号鍵の作成、維持、保護、削除が含まれます。

キーは期限切れになるか、一定期間が経過すると脆弱になります。継続的な使用と許可されたユーザーの数の増加により、有効期間は短くなります。

一般に「キー ロールオーバー」として知られるプロセスでは、新しいキー (対称または非対称キーのペア) が生成され、すでに使用されているキーと置き換えられます。

これらの新しい暗号キーは限られた数のユーザーが利用でき、組織内での役割に応じて他のユーザーにもアクセスがさらに拡張されます。

キー ライフサイクル管理により、権限のあるユーザーのみがデータにアクセスできるようになり、組織はデータ セキュリティを完全に確保できるようになります。

マルチクラウド鍵管理には、サービスとしての完全な暗号化鍵ライフサイクル管理が含まれており、Bring Your Own Key（BYOK）や鍵管理サービス（BYOKMS）など、複数のクラウド環境にわたって安全で一貫した鍵管理を保証します。

暗号化、鍵管理、シークレット管理、トークン化をパブリック クラウドごとに独自の方法で管理するのは複雑であるため、組織は複数のパブリック クラウドおよびハイブリッド環境にわたる大規模な単一の制御と管理を必要としています。

クラウドに接続し、単一のコンソールからクラウド環境全体で一貫したポリシーを設定できるキー管理システム (BYOK などの機能を備えた) を実装できます。

SaaS ベースのデータ セキュリティ モデルは、アプリ、IT インフラストラクチャ、サービスとの統合が容易であり、導入に専門的なスキルは必要ありません。

組織は、クォーラム承認機能を備えたゼロトラスト アーキテクチャ (ZTA) を導入して、特定のデータ セットを管理するために承認されたユーザーのみにアクセスを保証し、データ アクセスに付与される権限をマイクロセグメント化できます。

組織は、Bring Your Own Key (BYOK) を使用して、データとキーをより詳細に制御できます。クラウド プロバイダはマスターキーをインポートしてキー管理システムに保存し、そのキーに基づいてすべてのデータ暗号化キー（DEK）を暗号化できます。