Login
      目次 x
      Key Management Service の概要
        • 印刷する
        • PDF
        目次

        Key Management Service の概要

          • 印刷する
          • PDF
          記事の要約

          Classic/VPC環境で利用できます。

          Key Management Serviceは、暗号化運用および実装に不可欠な暗号化キー管理機能を提供する NAVERクラウドプラットフォームのサービスです。高可用性システムで厳密に管理されたキーを使用して、ユーザーの機密データを安全に保護できます。NAVERクラウドプラットフォームコンソールを通じてキーの使用権限とステータスを簡単に管理でき、提供される REST APIを使用してソフトウェア的に機能を利用できます。

          Key Management Serviceが提供する様々な機能

          Key Management Serviceが提供する機能は、次の通りです。

          • データ保護: 認証情報データを含む機密性が要求されるすべてのデータを簡単かつ効果的に保護します。
          • 署名と検証: 認証と否認防止のための署名と検証機能を提供します。
          • 厳格なアクセス制御: キー管理者またはキーユーザーのロールで権限を簡単に制御したり、詳細アクションを指定して詳細権限を制御できます。
          • キーのライフサイクル管理: 推奨基準に従ってキーの更新、無効化、廃止などを通じて、セキュリティ脅威に備えることができます。
          • 階層的なキー管理: 暗号化キーを階層的に運用できるため、エンベローピング(エンベロープ暗号化)方式の適用が容易です。
          • キー監査: キーの使用履歴はすべて記録され、定期的な履歴のバックアップを通じて定期的な管理およびモニタリングができ、監査履歴としても活用できます。
          • REST API: すべての機能が REST APIで提供され、キー管理と暗号化/復号化リクエストをソフトウェア的に処理できます。

          Key Management Serviceご利用ガイドの案内

          Key Management Serviceは、韓国リージョン、米国リージョン、香港リージョン、シンガポールリージョン、日本リージョン、ドイツリージョンでサービスを提供します。これらのリージョンで提供されるサービス内容は同じです。Key Management Serviceを円滑に利用するために、以下の目次と目次別内容をご確認ください。

          Key Management Service関連リソース

          NAVERクラウドプラットフォームでは、Key Management Serviceについての顧客の理解に役立つために、ご利用ガイドの他にも様々な関連リソースを提供します。Key Management Serviceを導入しようと検討中であったり、データ関連ポリシーを策定する上で詳細情報を必要とする開発者、マーケターなどの方は、以下のリソースを積極的に活用することをお勧めします。

          よくある質問を先にご確認ください。

          ご利用ガイドを読む前に、よくある質問への回答をチェックすると不明な点をすばやく解消できます。以下のよくある質問から答えが得られなかった場合、ご利用ガイドで必要な内容をご確認ください。

          Q. キーシーリングまたはエンベロープ暗号化(Envelope encryption)方式を使用する必要があるのはなぜですか?
          A. データの機密性を保証し、パスワードキーへのアクセス制御が正確に行われる場合にのみ、データ管理権を完全に確保することができます。Key Management Serviceは、集中化されたシステムを通じて暗号化キーを厳密に管理しますが、暗号化キーを中央システムで保管するため、キー管理サービスプロバイダによる漏洩のリスクが存在し、それによりデータ管理権が弱体化する恐れがあります。このような問題を解決するために使用する方法が「エンベロープ暗号化」です。この方式は、データを暗号化したキーを直接保管せず、そのキーを再度シール(またはラップ)した上位キーを管理する方式です。これにより、キー管理とデータ管理権確保の両方を満たすことができるために推奨されます。

          Q. データ管理権が確保されていても、システム管理者が任意にユーザーキーを不正に利用する可能性はないのですか?
          A. 暗号化キーを第三者に委託管理することは、キーの機密保持に対する脅威が高まる可能性があることを意味します。どれほど安全で信頼できる第三者であっても、このような脅威が存在することは否定できません。ただし、エンベロープ暗号化方式を使用してデータを暗号化するキーとそれを保護する上位キーを分離して階層的に管理することで、このような脅威を大幅に減らすことができます。つまり、キー委託管理システムの内部管理者が悪意のある目的でユーザーキーにアクセスしても、彼らはデータを暗号化するキーではなく、封印された上位キーのみを管理するため、データを無断で閲覧することは困難です。また、Key Management Serviceは、システムルートキーを複数の管理者が分割管理するように設計されており、少数の悪意のある管理者がキーを無断で使用することを防止しています。

          Q. 作成したキーを直接受け取ることはできますか?
          A. Key Management Serviceで管理されるキーは、内部コアシステムでのみ処理されるため、キーを抽出することはできません。キーを作成した顧客であれ内部システム管理者であれ、キーにアクセスして実際のキーデータ(Raw key)を確認することはできません。

          Q. 誤ってユーザーキーを削除したり、シールされたキーを紛失した場合はどうなりますか?
          A. 暗号化されたデータは、キーによってアクセスが決定されます。キーが漏洩するとデータも漏洩し、キーを紛失するとデータにアクセスできなくなります。エンベロープ暗号化方式でも同様に、ユーザーキーが削除されたり、シールされたキーを紛失すると、データが使用できなくなります。そのため、Key Management Serviceでキーの削除は非常に慎重に行われ、シールされたキーも紛失しないように徹底的に管理する必要があります。エンベロープ暗号化方式では、暗号化されたデータとシールされたキーを一緒に保管することをお勧めします。

          Q. システム障害や各種災害、災難により、Key Management Serviceで管理するキーが紛失または破損した場合はどうなりますか?
          A. Key Management Service内のユーザーキーはルートキーで暗号化されて保存され、暗号化されたキーは徹底的にバックアップ管理されています。深刻なシステム障害、災害、災難などの状況は特別な例外事項に分類され、NAVERクラウドの最高セキュリティ責任者(CISO)の承認下で KMS Disaster Recovery(DR)ポリシーに基づき、キーデータの復旧手順が行われます。セキュアストレージメディアにシールされたバックアップデータは管理者に個別に渡され、シール解除後に復号化されます。その後、システムを再起動して新しいキーに更新し、再シールする手順に従います。すべての手続きは、第三者セキュリティ監査人の立会いのもと、透明性をもって行われます。

          この記事は役に立ちましたか?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout