今こそ始める「BYOK」 自社で暗号鍵を管理するメリットと仕組みを専門家が解説：経済安全保障上、重要な情報を守る

世界情勢の先行きが不透明な中、企業におけるデータ主権の在り方が問われている。そこで注目を集めるのが、クラウド上のデータを利用者自身の暗号鍵で管理・運用する手法の「BYOK」だ。仕組みやメリットとは。

[PR／ITmedia]

　ビジネス展開や業務効率化を迅速に実現するためには、クラウドサービスの利用が不可欠だ。昨今はクラウド化の波に乗り、オンプレミスで運用していた基幹システムもクラウドに移行するケースが増えている。

　ここで注意したいのは「クラウドに保管した機密情報や個人情報をどう守るか」という点だ。クラウドベンダーもデータを保護するセキュリティ対策を講じているが、重要情報が漏えいするリスクはゼロではない。特に、金融機関や重要インフラ事業者など国や国民の重要データを扱う業界には、より強固な対策が求められる。

　こうした状況でクラウド上のデータを安全に保護する技術として注目を集めているのが、「BYOK」（Bring Your Own Key）^※1だ。本稿はBYOKの仕組みや需要が高まっている背景、BYOKを実現するためのポイントを解説する。

※1：本稿では自社が管理する暗号鍵でクラウド上の自社データを暗号化するソリューションを総称してBYOKと呼ぶ。文献によって、鍵の保管場所や保護方法の違いなどからBYOKやHYOKと呼び分けることもある

問われるデータ主権の在り方

　BYOKはクラウド上のデータを利用者自身の鍵で暗号化することで保護する仕組みだ。クラウドベンダーがデータの暗号化用に提供する暗号鍵を、クラウドサービスとは別の場所で管理する利用者のマスターキーで暗号化し、クラウドベンダー側ではデータを復号できなくする。復号の際はマスターキーで暗号鍵を復号し、それを使ってデータを平文に戻して暗号鍵は捨ててしまう。

BYOKの仕組み（出典：日立ソリューションズ提供資料）

　マスターキーでデータを直接暗号化するのではなく、クラウドサービスが提供している暗号化機能や暗号鍵の管理を行う鍵管理機能と連携する仕組みなので、個別に暗号化処理を実装する必要がない。

　こうした技術が注目される背景には何があるのか。

　暗号化で重要なのは、どこでどのように暗号鍵を管理するかだ。暗号鍵を適切に管理していなければ情報が流出する。クラウドベンダーの内部不正によって情報を盗み見られるリスクもある。クラウドベンダーは暗号鍵を適切に管理すると宣言してはいるが、このような問題は常に付きまとう。

日立ソリューションズの河浦直人氏

　日立ソリューションズの河浦直人氏（セキュリティプロダクト本部　セキュリティプロダクト第3部　部長）は「自社のデータを暗号化する鍵をクラウドベンダーに預けている限り、データを自社で管理・制御する権利、いわばデータ主権が握られてしまっている状態です」と話す。

　データ主権の在り方は、近年高まる経済安全保障の観点からも重要な論点だ。世界情勢が不透明な中、クラウドサービスにおけるデータのロケーションや扱いは国益を左右しかねない。

　欧州連合（EU）は、GDPR（EU一般データ保護規則）などの法規制によって域外へのデータ保存を制限している。米国のクラウド法（Clarifying Lawful Overseas Use of Data Act、CLOUD Act）は米国に所在する企業に対して、データが海外に保存されている場合もそのデータの開示を要求できると定めている。これは、何らかの予期せぬ事態によって自社のデータが米国政府に開示される可能性がある、ということだ。

　日本でも2024年5月に経済安全保障推進法が施行され、電気やガス、水道、鉄道、運輸、金融、通信といった国民生活に大きな影響を与える15業種を対象に、重要物資やサービスの安定供給のために一層のセキュリティ対策が求められるようになった。

　「経済安全保障推進法の柱の一つは、経済安全保障に影響を与える情報を保護しなければならないという点にあり、暗号鍵の適切な管理は避けては通れない課題です」（河浦氏）

　国の「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」（デジタル庁）で、BYOKは「利用者自身の暗号鍵によるデータの保護と鍵管理」と明示されていることからも、重要インフラ領域のクラウドサービス利用においてデータと暗号鍵の分散管理が求められているのは明らかだ。

　河浦氏によると、金融や重要インフラなどの機密情報を取り扱う企業の中には「クラウドとオンプレミスの二重管理は運用コストが増えるため、セキュリティを確保しつつデータの保管場所をクラウドに一本化したい」というニーズもある。

　「これを満たすのがBYOKです。最近はデータ規制の高まりを受けてメジャーなベンダーもBYOKを実現するインタフェースをサポートするようになってきており、BYOKを始める良いタイミングと言えるでしょう」

今が始めどき　BYOK導入による3つのメリット

　BYOKにはどのようなメリットがあるのか。

　1つ目は、クラウドのセキュリティリスクの多くをカバーできる点だ。ヒューマンエラーとして起こりやすい共有設定ミスや、不正アクセス、クラウドベンダーによる内部不正や第三者のデータ閲覧を阻止する。

BYOKは多くのクラウドセキュリティのリスクに対処できる（出典：日立ソリューションズ提供資料）

　一部のリスクは通信経路の暗号化や設定をチェックするソリューションによってカバーできるが、意図的かどうかにかかわらずクラウドベンダーからの情報漏えいは既存の仕組みでは対応しにくい。

　これに対し、BYOKは不正アクセスを受けて暗号鍵ごと暗号データが盗まれたり内部不正や共有設定ミスで情報を閲覧されそうになったりしても復号できず、元のデータを見ることは不可能だ。政府の要請でデータ開示を求められても、自社の同意なく復号することはできない。

日立ソリューションズの横森大祐氏

　日立ソリューションズの横森大祐氏（セキュリティプロダクト本部　セキュリティプロダクト第3部　第1グループ）は「クラウドベンダーは顧客の暗号鍵やデータを事実上見ることができないため、データが外部に出ていったとしても第三者は中身が分からない状況をつくれます」と述べる。

　近年、情報を持ち出して公開すると脅す二重脅迫型のランサムウェアが増えているが、中身が暗号化されている状態では脅迫の意味がないため、BYOKは二重脅迫対策としても有効な手段となる。

　2つ目は、個人情報保護法で求められる企業としての対応が容易になる点だ。同法は情報漏えいが発生した際、個人情報保護委員会への報告と個人情報の持ち主である本人への通知が義務付けられている。

　「BYOKでマスターキーとデータを分散して管理していれば、暗号データが漏えいしたとしても復号できないので実質的に漏えいしていないと見なされるため、報告や通知義務が免除されます」（横森氏）

　各所への報告に追われずに済むだけでなく、何より、先回りしてセキュリティリスクを排除していることを外部に示すことで、ブランドに安心感を持ってもらうという意味でもBYOKは有効だ。

　3つ目はデータを論理的に消去する「暗号化消去」を利用できることだ。

　セキュリティリスクを抑える上で不要なデータは削除することが重要だが、実は意外と面倒だ。単純にOSの機能で消去するだけでは、専用ツールで復元できてしまう。クラウドサービスの利用が広がってデータが散在する中、データを一つ一つ探し出して処理するのは手間がかかる。

　暗号化消去は暗号鍵を削除してデータを復号できなくする方法で、記憶媒体のデータ抹消処理に関するガイドライン「NIST（National Institute of Standards and Technology） SP800-88」^※2でも規定されている。データ自体は存在していても、暗号鍵を消すことで論理的には“消えた”ことになる。

※2：NIST（米国国立標準技術研究所）　https://csrc.nist.gov/pubs/sp/800/88/r1/final

データ保護の懸念を払拭する「Fortanix」

　BYOKの概念自体は以前から存在していたが、クラウドサービスの普及、データ主権や経済安全保障への懸念を背景に近年注目を集め、クラウドサービスで提供されるものも登場している。

　自社でハードウェアセキュリティモジュール（HSM）と呼ばれる専用機器を導入してオンプレミスで運用する方法もあるが、冗長構成を前提とすると多くのコストと運用負荷がかかる。クラウドサービスを軸に導入すれば、より少ない手間とコストでこれを実現できる。

　そうした中、「データがどこにあっても安心」をコンセプトに企業のBYOKを実現するソリューションが「Fortanix Data Security Manager」（以下、Fortanix DSM）だ。米国政府の調達基準にも採用されている「FIPS^※3 140-2」というセキュリティ標準のレベル3を満たしたHSMを複数のデータセンターに配置し、クラウドサービスとしてBYOKの機能を提供する。

※3：NISTが定める、情報を処理する標準規格

Fortanix DSMのコンセプト（出典：日立ソリューションズ提供資料）

　Fortanix DSMは、量子コンピュータによる暗号化データの解読を困難にする「耐量子暗号モジュール」、キャッシュ技術を組み合わせて高速に暗号化処理を実施する「DSM Accelerator」といった先端的な技術、「トークナイゼーション」や「透過的データベース暗号化」（TDE〈Transparent Data Encryption〉）などさまざまなデータ暗号化処理を統一的に取り扱えるインタフェースを搭載する。これらによって、大量のトランザクションを高速に処理しながら、安全性と管理の容易性を実現する。

　「Amazon Web Services」や「Microsoft Azure」「 Google Cloud 」などのIaaS、「Microsoft 365」や「Salesforce」といったSaaSなど、125種類以上のクラウドサービスにFortanix DSMは対応している。REST API経由で各クラウドサービスと簡単に結合でき、初期費用を抑えてBYOKを実装できる。

　仮想アプライアンスやハードウェアアプライアンスの形でオンプレミスにも導入可能だ。クラウドサービスと既存システムのデータを同じ仕組みで統一されたマスターキーで保護できる。

　BCPに万全を期すためにも有効だ。クラウドサービス形式でBYOKを運用しても、サービス自体が停止したりマスターキーが失われたりしたら一大事だ。Fortanix DSMは、日本を含むアジアの3拠点でクラスタリングを実行している。接続・設定に関するデータや通信経路も冗長化して分散管理することで、自然災害や事故、破壊などの事態にも耐えられる設計だ。

　日立ソリューションズは、金融をはじめ経済安全保障の観点から対策が求められる企業や、そうした企業を支える機器を設計・開発する製造業などにFortanix DSMを提供し、セキュリティ対策の底上げを支援している。自社のソリューションに組み合わせて、より高い付加価値を提供したいと考える販売パートナーにとっても魅力的な選択肢となるだろう。

　自社で技術者を抱え、労力をかけて情報システムをメンテナンスしなくても済むという意味でクラウドサービスの有用性は明らかだ。だが、セキュリティ対策への不安や懸念が、クラウドシフトによって自社の競争力を高めたいという歩みを押しとどめていた面もある。

　「セキュリティの観点からオンプレミスをやめてクラウドに一本化できない企業が多いのですが、クラウドの利用を控えていては他社との競争で劣勢に立たされてしまいます。クラウドでデータを一元的に保管して運用コストを低減させながらDXや業務効率化を進める上で、BYOKは強力な武器になるでしょう」（河浦氏）

・ Fortanixは、Fortanix,Inc.の米国およびその他の国における商標または登録商標です。
・Amazon Web Servicesは、Amazon Technologies, Inc.の米国およびその他の国における商標です。
・ Google Cloud および Google Cloud 製品・サービス名称は Google LLC の商標です。
・ Microsoft（Azure、Microsoft 365）は、マイクロソフトのグループ企業の、米国およびその他の国における商標または登録商標です。
・ Salesforceは、Salesforce,Inc.の米国およびその他の国における商標または登録商標です。
・ ServiceNowは、ServiceNow, Inc.の米国およびその他の国における商標または登録商標です。
・ Zoomは、Zoom Video Communications, Inc.の米国およびその他の国における商標または登録商標です。