Bring Your Own Key (BYOK) を使用すると、組織はデータを暗号化し、暗号化キーを完全に制御できます。

各クラウド プロバイダーは、Bring Your Own Key（BYOK）を提供していますが、サポートの程度は異なります。クライアント側の暗号化では、通常、アプリケーションは、クラウド サービス プロバイダーとの間でデータを送受信する前に、データの暗号化と復号化を行います。 

BYOK を使用すると、組織は独自のマスターキーをインポートでき、クラウドプロバイダーがキー管理システム（KMS）に保存します。マスターキーが外部のキー管理システムに保存されている場合、クラウド プロバイダーはマスターキーにアクセスできません。

クラウド プロバイダーは、マスター キーを使用してデータ暗号化キー (DEK) を保護します。組織は、紛失または失効した場合に備えて、マスター キーのコピーを常に保持しています。

「Bring Your Own Key」 (BYOK) は、公共云提供商を使用している場合でも、暗号化キーを保持することを許可します。云提供商にキーを生成させて保存させる代わりに、あなた自身がキーを生成し、云のKMSに注入します。この方法で、あなたは云提供商にあなたのデータとそれを保護するキーを無条件に信頼することはありません。 

あなたは法律的分離の利点を得ます。假设你云提供商の外でキーを生成および管理する場合、云提供商は単に暗号化された内容をホスティングしているだけで、データの保管を任何有用な形式で保持していません。この区別は、法廷命令、規制調査、または第三者監査が発生する場合に重要です。例えば、GDPRの下で運営する銀行は、ワークロードが米国ベースの云で実行している場合でも、BYOKを使用してEU内の信頼の根を保持することができます。 

もう1つの利点はライフサイクル制御です。あなたがキーを生成する場合、あなたはいつキーを回転、撤回または破棄するかを決定します。あなたと云提供商の契約が終了または違反がある場合、あなたはアクセスを切断するための許可を要求する必要はありません。あなたは単にキーを削除または無効化し、データは読めなくなります。 

いくつかの実装はまだ云提供商があなたのキーのキャッシュバージョを保持または特定の条件下で再インポートすることを許可します。BYOKのセットアップには、キー認証、厳格なキーアクセスポリシー、およびKey Management Interoper (KMIP)またはEKMのようなAPIを介して統合する外部キー管理システムが含まれるべきです。

いいえ、BYOK（Bring Your Own Key）は完全なDIY方式ではありません。鍵の生成とインポートは自分で管理できますが、一度クラウドプロバイダーのKMS（鍵管理システム）に鍵が登録されると、その先は彼らのシステム内で動作し、彼らのポリシーに従い、彼らのインフラストラクチャの制約を受けることになります。確かに鍵は自分で作成しますが、その後は他人のハードウェア内で管理されるのです。これは共有責任モデルであり、完全な所有権ではありません。

BYOKの実際の流れを見てみましょう。まず自社環境のHSM（ハードウェアセキュリティモジュール）で鍵を生成し、それをラップしてクラウドプロバイダーのKMSにアップロードし、使用権限を設定します。そこから先は、クラウドプロバイダーがアクセス制御を実施し、暗号化操作を処理し、利用ログを記録します。設定したルールが迂回されないことを信頼する必要があります。これは確かに何らかのコントロールではありますが、完全な独立性とは言えません。

また、簡単にロールバックできません。一度クラウドプロバイダーのシステムに入った鍵を削除したりローテーションしたりするのは、必ずしも即座に可能とは限らず、不可逆的な場合もあります。強力なロギングと証明がなければ、コピーが作成されたか、どのようにキャッシュされたか、政府からの要請でアクセスされていたかどうかなどは分からないのです。

完全な制御を求めるのであれば、「外部鍵管理」（HYOK: Hold Your Own Key または EKM: External Key Management）が必要です。このモデルでは、クラウドサービスが鍵を使用する必要がある度に、外部の鍵管理システムに問い合わせます。鍵は決して自社システムを離れません。これが真の完全制御です。BYOKは正しい方向への一歩ですが、あくまで中間的な解決策に過ぎません。