- 印刷する
- PDF
Key Management Service の概要
- 印刷する
- PDF
Classic/VPC環境で利用できます。
Key Management Serviceは、暗号化の運用と具現化において必須要素の暗号キー管理機能を提供するNAVERクラウドプラットフォームのサービスです。安定性を最優先に考慮した高可用性システムで厳格に管理されるキーを利用すると、ユーザーのクレデンシャルを安全に保護できます。NAVERクラウドプラットフォームコンソールでキーの使用権限と状態を手軽に管理できます。また、提供されるRest APIを介して、キーを利用した暗号化・復号化、署名・検証機能を使用できます。
Key Management Serviceが提供する様々な機能
Key Management Serviceが提供する様々な機能の説明は以下のとおりです。
- データ保護:キー保護だけでなく、機密性保障が必要なすべてのデータの効果的な保護
- 署名と検証:認証と否認防止のための署名・検証機能を提供
- 厳格なアクセス制御:ロールポリシーに基づいてキー別アクセス制御を行う
- キーライフサイクル管理:推奨基準によるキーの更新、無効化、失効でセキュリティ脅威に対応
- 階層的なキー管理:安全な封筒暗号化方式を活用して徹底的に暗号化された階層的な管理
- キー監査:安全なキー使用のために、専門家による定期的な監査・管理、記録と履歴のモニタリングのための機能を提供
- Rest API:Rest API呼び出しによる暗号化・復号化、暗号データの更新、データキーのリクエストなど
Key Management Serviceご利用ガイドの案内
Key Management Serviceは、韓国リージョン、米国リージョン、シンガポールリージョン、香港リージョン、日本リージョン、ドイツリージョンでサービスを提供しています。これらのリージョンで提供されるサービスの内容は同じです。Key Management Serviceを円滑に利用するために、以下の目次と目次別内容をご確認ください。
- Key Management Serviceの概要:Key Management Serviceの紹介、利用に役立つ関連リソース、FAQの案内
- Key Management Serviceを使用する前に:Key Management Serviceを利用するためのシステム要件、注意事項、料金プランの案内
- Key Management Serviceの概念:Key Management Serviceの利用に役立つ暗号化、キーライフサイクル、封筒暗号化などの主要概念の案内
- Key Management Serviceのシナリオ:Key Management Serviceを利用する全プロセスの案内
- Key Management Serviceを開始する: Key Management Serviceの利用開始方法のご案内
- ご利用とご解約の手続き:NAVERクラウドプラットフォームコンソールでのKey Management Serviceサービスの利用申込と解除の案内
- Key Management Serviceを使用する:Key Management Serviceで利用できるキーの作成と管理方法の案内
- Key Management Serviceの使用事例:Key Management Serviceの利用に役立つ様々な例と説明、活用方法の案内
- Key Management Serviceの用語:Key Management Serviceを利用する際に必ず知っておくべき主要用語と解説の案内
- Key Management Serviceの権限管理:Sub Accountを活用したKey Management Serviceの権限管理方法の案内
- Key Management Serviceのリリースノート:Key Management Serviceご利用ガイドのアップデート履歴
Key Management Service関連リソース
NAVERクラウドプラットフォームでは、Key Management Serviceに対する顧客の理解を助けるために、ご利用ガイド以外にも様々な関連リソースを提供しています。Key Management Serviceを導入しようと検討中であったり、関連ポリシーを策定する上で詳細情報を必要とする開発者、マーケターなどの方は以下のリソースを積極的に活用することをお勧めします。
- Key Management Serviceに対する理解と使用方法の高度化
- Key Management Service APIガイド:Key Management Service開発者のためのAPI使用方法
- 料金プランの紹介、特長、詳細機能:Key Management Serviceの料金体系、Key Management Serviceの特長と詳細機能まとめ
- サービス関連の最新のお知らせ:Key Management Service関連の最新のお知らせ
- よくある質問:Key Management Serviceユーザーからのよくある質問
- お問い合わせ:ご利用ガイドだけでは不明な点が解消されない場合、直接お問い合わせ
- Key Management Serviceの利用に必要な連携サービスご利用ガイド
- Sub Accountご利用ガイド:Key Management Serviceの運用権限管理をサポートするSub Accountの使用方法
- API Gatewayご利用ガイド:Key Management Service APIの呼び出しに必要なAPI Gatewayの使用方法
よくある質問を先にご確認ください。
ご利用ガイドを読む前に、よくある質問への回答をチェックすると不明な点をスピーディーに解消できます。以下のよくある質問から答えが得られなかった場合、ご利用ガイドで必要な内容を探して確認するようお願いします。
Q. キー封印または封筒暗号化(Envelope encryption)方式を敢て使用すべき理由は何ですか?A. データの機密性を保障して暗号キーに対するアクセス制御が正確に行われる場合、データ統制権が保証されると言えます。Key Management Serviceのような「キーエスクローサービス」は、データ暗号化キーをサービス提供者が持っており、サービス提供者によるデータ流出に対する恐れが存在するため、データの統制権が減少すると知られています。これを解決するための暗号化方式が「封筒暗号化」です。データを暗号化したキーを直接保管する方式ではなく、封印するキーを保管するキー封印または封筒暗号化方式は、キー管理とデータ統制権保障条件をいずれも満たすため、推奨しています。
Q. データ統制権保障といったって、システム管理者は依然として任意にユーザーのキーを無断で利用できたりしませんか?A. 暗号化キーを第三者に委託管理することは、それだけキーの機密維持への脅威が増加する効果が発生することを意味します。いくら安全で信頼できる第三者であっても、考慮すべき脅威が増加することは否定できません。そのため、封筒暗号化方式を利用して実際のデータを暗号化するキーと、キーを保護するキーを分離して階層的に管理すれば、その脅威をかなり減らすことができます。即ち、キー委託管理システムの内部管理者が悪意をもってユーザーのキーにアクセスした場合でも、データ暗号化に利用された封印されたキーを管理しているわけではないので、データを無断で閲覧できません。さらに、Key Management Serviceは、システムルートキーを複数の管理者により分割管理するように設計されているため、悪意のある少数の管理者が無断にキーを利用できません。
Q. 作成したキーは直接受け取ることができますか?A. Key Management Serviceにより管理されるキーは、内部コアシステムでのみ運用されるので、いかなる場合でもキーを抽出できません。キーを直接作成した顧客であれ、内部システムルート管理者であれ、キーに直接アクセスすることはできません。
Q. ユーザーキーを削除したり、封印されたキーを紛失した場合はどうなりますか?A. 暗号化されたデータの利用はキーに左右されます。キーの流出はデータの流出であり、キーを紛失するとこれ以上データにアクセスできなくなります。同様に、封筒暗号化方式でもユーザーキーが削除されたり、封印されたキーを紛失した場合、データは利用できなくなります。よって、Key Management Serviceのキー削除は非常に慎重に行わなければなりません。また、封印キーも紛失しないように管理する必要があります。封筒暗号化方式で勧告する通り、暗号化されたデータと封印されたキーを一緒に保管するのが最も望ましいです。
Q. システムエラーや各種災害、災難でKey Management Serviceで管理するキーが消失したり、損傷する場合はどうなりますか?A. Key Management Service内のユーザーキーはルートキーで暗号化され、保存されます。暗号化された形式のキーは非常に徹底的にバックアップ・管理されています。深刻なシステムエラー、災害、災難などの状況は、特殊な例外事項に分類してNAVERの最高セキュリティ責任者の承認の下、KMS DR(Disaster Recovery)ポリシーに従ってキーデータの復旧手続きを実行します。金庫に封印されたセキュリティ保存媒体は、管理者にそれぞれ伝達され、封印解除されます。その後、バックアップされたデータを復号化してシステムを再起動し、新しいキーに更新して再度封印保管する手続きを経ることになります。すべての手続きは、セキュリティ監査者の立会いの下、透明性が確保され行われます。
Q. 完全削除したキーの情報と使用履歴などの管理情報は照会できますか?A. コンソールでは照会できませんが、NAVERクラウドプラットフォームポータルの サポート > お問い合わせ を介してお申込いただけます。削除されたキーの管理情報は、1年間維持した後に削除されます。管理情報を直ちに削除するには、 サポート > お問い合わせ を介して直ちに削除するようお申し込みください。