Entry № 142
BYOK(Bring Your Own Key)
BYOK(Bring Your Own Key) とは何ですか?
BYOK(Bring Your Own Key)クラウド事業者が生成する鍵に頼らず、顧客自身が暗号鍵を生成または持ち込んで事業者の KMS にインポートする鍵管理モデル。
BYOK では、クラウド上のデータを保護するマスターキーのライフサイクルを顧客が管理しますが、鍵そのものは事業者の KMS や HSM の中で保管・利用されます。一般的には顧客側 HSM で鍵を生成し、暗号的にラップしたうえで安全にクラウドへインポートします。顧客は鍵をローテーション・無効化・削除予約でき、より強い監査証跡と迅速なアクセス取消手段を得られます。ただし鍵はあくまで事業者のインフラ内に残るため、BYOK だけでは事業者による利用を完全には阻止できません。そのためには HYOK や外部キーストアが必要です。代表例は AWS KMS のインポート鍵、Azure Key Vault BYOK、Google Cloud EKM などです。
● 例
- 01
オンプレ HSM から AWS KMS への鍵マテリアルのインポート。
- 02
FIPS 140-2 HSM を用いたラップ儀式による Azure Key Vault BYOK。
● よくある質問
BYOK(Bring Your Own Key) とは何ですか?
クラウド事業者が生成する鍵に頼らず、顧客自身が暗号鍵を生成または持ち込んで事業者の KMS にインポートする鍵管理モデル。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
BYOK(Bring Your Own Key) とはどういう意味ですか?
クラウド事業者が生成する鍵に頼らず、顧客自身が暗号鍵を生成または持ち込んで事業者の KMS にインポートする鍵管理モデル。
BYOK(Bring Your Own Key) からどのように防御しますか?
BYOK(Bring Your Own Key) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
BYOK(Bring Your Own Key) の別名は何ですか?
一般的な別名: BYOK, 顧客持ち込み鍵。