第2回：情報資産の暗号化を担うKMS（Key Management Service）

データは、企業にとってもっとも重要な資産である一方、流出すれば大きなリスクとなります。
顧客情報や知的財産の漏えいは、法的制裁や経済的損失、さらには信頼の失墜につながりかねません。近年はサイバー攻撃の高度化やクラウド利用の拡大により、境界防御だけでは十分とはいえず、データそのものを守る仕組みが不可欠になっています。 

その中心となるのが「暗号化」です。暗号化は、「GDPR」や個人情報保護法などの規制では必須条件となる場合も多く、企業が安心してデータを利活用するため欠かせない基盤技術といえます。 

「KMS」（Key Management Service）は、クラウド上で暗号鍵の生成・保存・利用を安全に実現するサービスです。暗号化に必要な鍵を集中管理し、API経由で暗号化・復号などを実現できます。 

この記事では、情報資産のセキュリティやコンプライアンス対応を担うエンジニア・IT企画者に向けて、暗号鍵管理の基本と「さくらのクラウド」が提供するKMSについて解説します。 

暗号化のおさらい 

すでにご存じの方が多いと思いますが、暗号化の基本用語を確認しておきましょう。 

暗号化とは、判読可能なデータ（平文）を特定のアルゴリズムと「鍵」を使って、判読不能なデータ（暗号文）へ変換する技術です（図1）。利用者は正しい鍵を用いることで、暗号文を再び平文に戻すことができます。平文を暗号文に変換することを「暗号化」、暗号文を平文に戻すことを「復号」と呼びます。 

暗号文は、送信途中や保管中に漏洩しても、鍵を持っていなければ判読不能です。このように暗号化は、第三者が内容を容易に理解できないようにしつつ、正規の利用者だけがアクセスできる仕組みを提供するのです。 

暗号化のおもな方式 

暗号化には大きく分けて2つの方式があります。 

• 対称鍵暗号：暗号化と復号に同じ鍵を使う 
  • 代表例：AES 
  • 高速処理が可能で、大量のデータ暗号化に適している 
  • 鍵を安全に共有する方法が課題となる 
• 公開鍵暗号：暗号化と復号に異なる鍵（公開鍵と秘密鍵）を使う 
  • 代表例：RSA、ECC 
  • 公開鍵で暗号化し、秘密鍵で復号する仕組みのため、鍵の配布は容易になる 
  • 処理速度は対称鍵に比べて遅い傾向があります。 

暗号化の強度は、「アルゴリズムそのもの」と「鍵」の管理で決定づけられます。どれほど堅牢なアルゴリズムで暗号化しても、鍵が盗まれたり不適切に管理されたりすれば意味を失ってしまいます。鍵を厳格に守ることが、暗号化によるセキュリティで本質的な価値を支えるのです。 

そこで利用されるのが「KMS」（Key Management Service）です。 

KMSの役割 

KMS（Key Management Service）は、暗号鍵の生成・管理・利用を安全におこなうための「キー管理サービス」です。システムやデータを暗号化する際には「鍵」が必須ですが、鍵そのものが漏洩すれば暗号化は無意味になります。KMSは、この「鍵」をセキュアに保管し、必要なときに正しく利用させる仕組みを提供します。 

KMSに採用されるエンベロープ暗号化 

多くのKMSでは、エンベロープ暗号化方式を採用しています。 

エンベロープ暗号化を採用したKMSでは、データを暗号化する「データ暗号キー」と、そのデータ暗号キーをさらに暗号化する「KMSキー」の2つの鍵を使うことで、セキュリティを高めます。データ暗号キーでデータを暗号化したあと、そのデータ暗号キーをKMSキーで暗号化して保管し、データ暗号キーの安全性を高めます（図2）。 

エンベロープ（Envelope）とは「封筒」という意味です。暗号化したデータと暗号化に用いたデータ暗号キーを同じ封筒に入れて、さらにKMSキーを「マスターキー」にして暗号化するイメージです。 

このようにエンベロープ暗号化では、データと鍵の両方を保護することで、鍵の漏洩リスクを低減させます。 

さくらのクラウドが提供するKMS 

さくらのクラウドでも、キー管理サービスとして「KMS（Key Management Service）」（https://cloud.sakura.ad.jp/products/kms/）を提供しています。 

さくらのクラウドのKMSは、次の機能を提供しています。 

• 暗号鍵の生成、保存、利用をクラウド上で提供 
• API経由で暗号化・復号を実行可能 
• 鍵のライフサイクル管理（作成・ステータス変更・削除予約） 
• 自動ローテーションや監査ログとの統合 
• BYOK対応 

BYOK（Bring Your Own Key） 

「BYOK」（Bring Your Own Key）とは、クラウド事業者が提供する暗号化サービスを利用する際に、利用者自身が生成・管理した暗号鍵をクラウド環境へ持ち込み、その鍵でデータを暗号化する仕組みです。通常はKMSが自動的に鍵を生成・管理しますが、BYOKを利用することで利用者が「鍵の所有権」を保持できます。 

BYOKを用いることで、クラウドサービスを利用しながらも自社のセキュリティポリシーや規制要件に沿った鍵管理が可能になり、コンプライアンス対応や顧客への説明責任を果たしやすくなります。 

KMSの利用例 

さくらのクラウドでは、シークレットマネージャがKMSとの連携に対応しています。また、ディスク暗号化も対応しています。 

シークレットマネージャと連携するKMS 

シークレットマネージャは、認証パスワードやAPIのアクセスキーといったアプリケーションやシステムが利用する「シークレット」（機密情報）を安全に保存・配布・管理するシークレット管理ツールです。このシークレットマネージャで、シークレットを保管する際の暗号化にKMSを利用しています（図3）。 

ディスク暗号化でKMSを利用 

さくらのクラウドでは、ディスク暗号化でもKMSに対応しています。 

ディスク暗号化では、サーバ上でおこなわれるディスクへの読み書きに対し、それを受け持つクラウド基盤内の仮想デバイスドライバで透過的に暗号化・復号処理をおこなうことで、データの安全性を高めます（図4）。この暗号化でKMSを利用します。 

暗号化・復号処理はさくらのクラウド基盤内でおこなわれるため、ユーザー側からは利用OSに特別な設定をおこなうことなく、通常のディスクと同様に取り扱うことが可能です。 

• ディスク暗号化機能 | さくらのクラウド マニュアル 
• 「ディスク暗号化機能」　KMSキー・BYOK 対応のお知らせ 

KMSの導入効果 

KMSを導入することで、次の効果が期待できます。 

• セキュリティ強化：鍵をアプリや人手で管理せず、クラウド基盤で安全に保護できる 
• コンプライアンス対応：PCI DSS、HIPAA、ISO27001、GDPRなど規制要件に沿った管理が容易 
• 運用効率化：鍵の更新や削除を自動化して、属人的な管理から脱却 
• 一貫した暗号化基盤の活用：データベース、シークレットマネージャで一貫した暗号基盤を利用 

KMS利用上の注意事項 

KMSを利用する際には、次の点に注意してください。 

KMSキーの管理はユーザーの責任で 

さくらのクラウドが提供するKMSは、シークレットマネージャおよびディスクのデータ暗号化で利用できます。 

誤ってユーザーが KMSキーを紛失・削除してしまった場合には、クラウド事業者であっても暗号化されたデータの復元は不可能なので注意してください。そもそもKMSは、暗号化されたデータを第三者に解読させないためのソリューションだからです。 

KMSではKMSキーを即時削除できず、削除予約機能により削除予約期間を経過したあとに削除します。そのため、誤操作による削除で回復不能なダメージを回避できます。削除予約期間にはKMSキーが「削除保留中」となり暗号化・復号に利用できなくなります。この期間中にユーザシステム上で問題がないか確認できます。 

サーバ上では、通常のディスクとして認識される 

ディスク暗号化を有効にして作成したディスクでも、ユーザーサーバ上では通常のディスクと同様の状態で認識されます。そのため、ユーザーサーバへの不正侵入や脆弱性を持つアプリケーションによる意図しないデータへのアクセスなどが発生した場合には通常どおりにディスクへ読み書きできます。 

OS上での不正や脆弱性に対するデータ保護をおこなう場合は、ユーザ利用領域での暗号化など別途対策をご検討ください。 

レスポンスについて 

KMSによる暗号化・復号は処理に時間がかかり、レスポンス時間に影響を与える可能性があります。 

ディスク暗号化における暗号化処理は、データ暗号キーによりストレージ側で実行されるため、KMSの暗号化・復号の影響をほとんど受けません。ディスク暗号化にかかわる計算コストや時間的遅延などについては、公表しているIOPS・転送帯域（https://manual.sakura.ad.jp/cloud/storage/disk-encryption.html）の範囲内に影響を与えない程度の負荷となります。 

まとめ 

クラウド利用やシステム連携の拡大により、セキュリティ強化・運用効率化・コンプライアンス対応のため、鍵とシークレットの管理が重要かつ不可欠になっています。 

さくらのクラウドでは、そのために次のサービスを提供しています。 

• シークレットマネージャ  
  https://cloud.sakura.ad.jp/products/secrets-manager
• KMS（Key Management Service）
  https://cloud.sakura.ad.jp/products/kms
• クラウドHSM（Hardware Security Module）

この記事では、そのうちのKMSについて解説しました。 

安全なクラウドシステムの構築・運用のため、さくらのクラウドのKMSを活用ください。 

各サービスの機能や使い方の詳細は、さくらのクラウドマニュアルをご覧ください。 

• シークレットマネージャ
  https://manual.sakura.ad.jp/cloud/appliance/secretsmanager/index.html
• KMS
  https://manual.sakura.ad.jp/cloud/appliance/kms/index.html
• クラウドHSM
  https://manual.sakura.ad.jp/cloud/appliance/cloudhsm/index.html