封筒暗号化
封筒暗号化 とは何ですか?
封筒暗号化大量データを高速なデータ鍵で暗号化し、そのデータ鍵を KMS や HSM に格納されたマスター鍵で暗号化(ラップ)するパターン。
封筒暗号化は、大量データの対称暗号化と鍵の保管を分離します。オブジェクトごとに新しいデータ暗号鍵(DEK、通常は AES-256)で本体を暗号化し、その DEK を長寿命のキー暗号化鍵(KEK)すなわちマスター鍵で暗号化します。KEK は KMS や HSM の外には出ません。暗号文と一緒に保存されるのはラップされた DEK のみで、復号時には IAM 制御下で KMS を呼び出して DEK をアンラップします。これにより、高速なローカル暗号化、テナント別やレコード別の鍵、データを再暗号化せずに DEK を再ラップするだけで済むローテーション、明確な監査証跡が実現します。AWS KMS、Google Cloud KMS、S3 SSE-KMS、多くのクラウドストレージ暗号化の基礎です。
● 例
- 01
AWS KMS の GenerateDataKey は平文 DEK と KMS でラップした DEK を返す。
- 02
Google Cloud Storage CMEK は顧客管理 KEK を用いた封筒暗号化を利用する。
● よくある質問
封筒暗号化 とは何ですか?
大量データを高速なデータ鍵で暗号化し、そのデータ鍵を KMS や HSM に格納されたマスター鍵で暗号化(ラップ)するパターン。 サイバーセキュリティの 暗号 カテゴリに属します。
封筒暗号化 とはどういう意味ですか?
大量データを高速なデータ鍵で暗号化し、そのデータ鍵を KMS や HSM に格納されたマスター鍵で暗号化(ラップ)するパターン。
封筒暗号化 はどのように機能しますか?
封筒暗号化は、大量データの対称暗号化と鍵の保管を分離します。オブジェクトごとに新しいデータ暗号鍵(DEK、通常は AES-256)で本体を暗号化し、その DEK を長寿命のキー暗号化鍵(KEK)すなわちマスター鍵で暗号化します。KEK は KMS や HSM の外には出ません。暗号文と一緒に保存されるのはラップされた DEK のみで、復号時には IAM 制御下で KMS を呼び出して DEK をアンラップします。これにより、高速なローカル暗号化、テナント別やレコード別の鍵、データを再暗号化せずに DEK を再ラップするだけで済むローテーション、明確な監査証跡が実現します。AWS KMS、Google Cloud KMS、S3 SSE-KMS、多くのクラウドストレージ暗号化の基礎です。
封筒暗号化 からどのように防御しますか?
封筒暗号化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
封筒暗号化 の別名は何ですか?
一般的な別名: ラップ鍵暗号化, DEK/KEK パターン。
● 関連用語
- cryptography№ 588
鍵管理システム
アプリケーションに代わって暗号鍵の生成・保管・ローテーション・監査を行う集中型サービスで、通常はハードウェアセキュリティモジュールを基盤とする。
- cryptography№ 589
鍵ローテーション
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
- cryptography№ 023
AES-GCM
AES のカウンターモードと GHASH ベースの認証タグを組み合わせ、機密性と完全性を一度の処理で実現する認証付き暗号モード。
- cloud-security№ 124
BYOK(Bring Your Own Key)
クラウド事業者が生成する鍵に頼らず、顧客自身が暗号鍵を生成または持ち込んで事業者の KMS にインポートする鍵管理モデル。
● 関連項目
- № 871プロキシ再暗号化