ソリューションブリーフ

Fortanix DSMを使用したAWS外部キーストア（XKS）

プライバシー規制対象データを含むワークロードをFortanix Data Security Manager（DSM）と共にAWSプラットフォームへ移行しましょう。DSMは中央集権型のキーマネージャーで、クラウド上のデータとは別に暗号鍵の作成・保存・追跡を行います。Fortanix DSMを外部キーマネージャーとして活用すれば、GDPRやシュレムスII判決などのセキュリティ・プライバシー規制への対応が可能になります。

概要

シュレムスII判決やGDPRなどの規制では、欧州経済領域（EEA）内の市民の個人識別情報（PII）データがこれらの境界内に留まることを組織が保証する必要があります。このデータは最新の暗号化技術で保護され、暗号鍵はデータ輸入者の独占的な管理下になければなりません。さらに、これらの規制ではデータへのアクセスをいつでも取り消す能力と、クラウド上のデータから暗号鍵を分離することを要求しています。外部キーストア（BYOKMS：Bring-Your-Own-Key-Management-Systemと呼ばれることもあります）は追加の暗号化レイヤーを導入し、組織が鍵を完全に管理できるようにします。Fortanix DSMを使用すれば、組織は鍵のライフサイクルを一元管理し、詳細なアクセス制御と包括的なログを実施することで監査プロセスを簡素化できます。

復号鍵は保護対象データの輸入者の独占的管理下にあり、場合によっては輸出者自身または輸出者が信頼するEEA内、またはEEA内で保証されるものと実質的に同等の保護レベルを提供する管轄区域に所在する別の主体の管理下に置かれます。また、最新技術に準拠した技術的・組織的措置により、不正使用や開示から適切に保護されていなければなりません。

フォータニックス・ソリューション

フォータニックスDSMはAWS外部キーストアとして機能し、組織がデータをクラウドに移行する際に、キーに対して最高レベルのセキュリティと制御を実現します。暗号化キーは完全に顧客の管理下に置かれ、FIPS 140-2レベル3認証のHSMによって保護され、クラウドデータから分離されています。フォータニックスDSMユーザーは、オンプレミスでもクラウドでも使用されるキーのライフサイクルを集中管理できるソリューションを利用できます。フォータニックスDSMユーザーがキーを独占的に管理するため、CLOUD法などによって政府の召喚状が発行された場合でも、フォータニックスやAWSが保護されたデータへのアクセスを許可することはできません。

Fortanix SOlution

主な特徴と利点

GDPR/シュレムズII準拠

Fortanix DSMを集中型の外部キーストアとして使用することで、ユーザーはキーの完全な管理権を保持し、AWS内のデータ暗号化ポリシーを完全に制御できます。この制御には、キーが存在する場所やアクセス可能な場所の定義が含まれます。DSMは詳細な監査ログを提供するため、規制対象データがEEA圏内に留まっていることや、シュレムスII判決で定義された制限を含むGDPRなどの規制に準拠していることを、監査人に対して容易に証明できます。

マルチクラウドKMSのシンプルさ

Fortanix DSMは、オンプレミスでもクラウドでも使用される場合を問わず、鍵とデータを保護するための単一で安全なソースを提供します。単一のインターフェースからデータアクセスポリシーを定義、施行、追跡し、クラウド移行を加速します。DSMは、クォーラム承認を含むきめ細かいロールベースのポリシーを提供し、既存の認証IDプロバイダーとシームレスに統合します。

安全で柔軟なデプロイ

Fortanix DSMはSaaSプラットフォームとして、また物理/仮想アプライアンスとして提供されており、お客様の環境に最適な形態でご利用いただけます。どのような導入形態を選択されても、鍵はFIPS 140-2レベル3認証のハードウェアセキュリティモジュール(HSM)で保護され、AWSやFortanixもアクセスすることはできません。使用中のデータはIntel® SGXセキュアエンクレーブ技術によって常時保護されています。

自動鍵管理

鍵の生成、ローテーション、失効、取り消しまでの完全なライフサイクルを自動化し、オンプレミスおよび（マルチ）クラウド環境全体で安全かつ一貫した鍵管理を実現します。DSMは、自動鍵ローテーション、リージョンやクラウド間でのワンクリックローテーション、失効期限に基づく自動鍵ローテーション、鍵の状態変化に基づく自動アラートなど、最先端の自動化機能を提供します。

完全なる顧客管理

リスクを完全に制御したい組織は、データを保護する鍵を完全に管理する必要があります。クラウドプロバイダーのKMSソリューションを使用すると、排他的な制御の代わりに近接性を選択することになります。裁判所の命令により、クラウドプロバイダーは鍵とデータの引き渡しを強制される可能性があります。DSMを外部鍵ストアとして使用すれば、組織は鍵とデータの完全な管理権と所有権を保持できます。Fortanix DSMにはキルスイッチ機能も備わっています。これにより管理者は、AWSプラットフォーム上の保存データへのアクセスを、特定またはすべてのインスタンスやロケーションの権限を数クリックで変更するだけで即座にブロックできます。

AWS External Key StoreとFortanix DSMの連携方法

以下の図に示すように、XKS（外部キーストア）を使用することで、AWS KMSは外部の顧客管理ルートキーを利用可能になり、顧客はキー管理とデータ保護の取り組みをより強力に制御できます。

顧客のルートキーはFortanix DSM内で生成、保護、使用されます。AWS KMSはDSMを呼び出し、サポートするAWSサービスで使用するデータ暗号化キー（DEK）のアンラップを要求します。DSMはきめ細かいアクセス制御とキー使用ポリシーを適用します。XKSで保護されたDEKは二重にエンベロープ（暗号化）されています：1回はKMSによって、もう1回はDSMによって暗号化されます。KMSクライアントがキーを使用するたびに、KMSはFortanix DSMに透過的なエンベロープの開封を要求し、我々は半透明のエンベロープを返送して復号化を行います。この方法により、Fortanixは顧客のキーを一切見ることはありません。

How Does AWS External Key Store with Fortanix DSM Work?

個別デモでFortanixが企業のコンプライアンスワークフローをどのように強化・加速するかご覧ください。

デモを申し込む