多くのシーンで活躍するシークレットマネージャとKMS 〜さくらのクラウドの暗号鍵管理 #3〜

公開:最終更新日:
多くのシーンで活躍するシークレットマネージャとKMS 〜さくらのクラウドの暗号鍵管理 #3〜

ここまで、さくらのクラウドが提供する「シークレットマネージャ」と「KMS(Key Management Service)」について解説してきました。

クラウド活用が進むなかで、認証情報や暗号鍵といった暗号鍵管理はセキュリティの重要な構成要素となっています。シークレットマネージャはAPIキーやパスワードなどを安全に保管・配布する仕組みを提供し、KMSは暗号鍵を一元的に管理・運用する基盤を担います。

本記事では、それぞれのユースケースを紹介して、クラウド時代のセキュリティ戦略にどう位置付けるべきかを考察します。

第1回目の記事はこちら
機密情報を安全に管理するシークレットマネージャ 〜さくらのクラウドの暗号鍵管理 #1〜

前回の記事はこちら
情報資産の暗号化を担うKMS(Key Management Service)〜さくらのクラウドの暗号鍵管理 #2〜

目次
  1. ディスクの暗号化
  2. DBサーバのパスワードやAPIのアクセストークンを保存
  3. SaaSやマルチテナント環境でのテナント鍵分離
  4. マルチクラウド/ハイブリッド環境での鍵統合管理
  5. BYOK(Bring Your Own Key)
  6. まとめ

ディスクの暗号化

ディスクに保存されるデータを透過的に暗号化して、内部不正や侵入時にDBファイルを直接コピーされても内容が読まれるリスクを防ぎます。KMSは、暗号化のマスターキー(KMSキー)を生成・保管・ローテーションして、鍵管理の負担を低減するとともに、規制要件に沿った管理を容易にします(図1)。

図1:データベースの暗号化

DBサーバのパスワードやAPIのアクセストークンを保存

アプリケーションサーバが、データベースサーバや外部APIに接続する際、認証情報を安全に管理するために、シークレットマネージャを使用します。

アプリケーションサーバは、APIキーやアクセストークンをシークレットマネージャに保存し、利用時に取り出します(図2)。これにより、APIキーやアクセストークンを誤ってGitHubにコミットしたり、開発者個人PCに保存したりといった事故を防止できます。シークレットを安全に集中管理でき、ローテーションや監査対応も可能です。

さらに、パスワードやAPIキーを環境変数やソースコードに直書きするリスクを解消して、セキュアで標準化された方法で接続情報を管理します。また、更新や権限管理も容易にします。

シークレットマネージャは、データベース接続情報やAPIキーを暗号化して保存し、アクセス権限のあるアプリケーションに提供します。KMSは、シークレットマネージャ内のデータを暗号化/復号する際に利用するKMSキーを管理します。

図2:アプリケーションサーバが、シークレットマネージャからDBパスワードを取得

SaaSやマルチテナント環境でのテナント鍵分離

お客様がさくらのクラウド上にSaaS基盤を構築する場合、テナントごとに異なるデータ暗号キーを利用してデータを分離。SaaSプロバイダーが、マルチテナント環境における顧客データの隔離保証を実現します。この設計により テナントごとに鍵を分離することで、お客さまの安心感と監査適合性を提供可能にします。

シークレットマネージャは、テナント固有の認証情報や設定を管理し、KMSは、テナントごとに別々のKMSキーを生成・利用します。

マルチクラウド/ハイブリッド環境での鍵統合管理

オンプレミス環境とクラウド環境で使われるシークレットを統合して、一貫したポリシーで管理します。これによって統一的な運用が可能となり 、環境ごとに異なっていたシークレット管理の監査や運用負担を低減できます。

シークレットマネージャは、利用される認証情報を一元化し、全環境で統一したセキュリティポリシーと監査ログを実現します。KMSは、鍵の生成・保護・利用ポリシーを全環境で統合管理します。

BYOK(Bring Your Own Key)

「BYOK」(Bring Your Own Key)とは、クラウド事業者が提供する暗号化サービスを利用する際に、利用者自身が生成・管理した暗号鍵をクラウド環境へ持ち込み、その鍵でデータを暗号化する仕組みです。通常は、KMSが自動的に鍵を生成・管理しますが、BYOKを利用することで利用者が「鍵の所有権」を保持できます。

BYOKを用いることで、クラウドサービスを利用しながらも自社のセキュリティポリシーや規制要件に沿った鍵管理が可能になり、コンプライアンス対応や顧客への説明責任を果たしやすくなります。

まとめ

クラウド環境では、シークレットマネージャがアプリケーションの認証情報管理を担い、KMSが暗号鍵の一元管理とデータ保護の基盤を提供します。両者を組み合わせることで、開発から運用までセキュリティを多層的に強化し、コンプライアンス要件にも柔軟に対応できる戦略が実現します。

さくらのクラウドでは、そのために次のサービスを提供しています。

安全なクラウドシステムの構築・運用のため、さくらのクラウドのシークレットマネージャおよびKMSを活用ください。

各サービスの機能や使い方の詳細は、さくらのクラウドマニュアルをご覧ください。

さくらのクラウドチーム
制作者

さくらのクラウドチーム

コラムでは、さくらのクラウドに関連するビジネス向けの内容や、ITインフラ技術の説明などを掲載しています。

関連記事