キーエスクロー

Q: キーエスクロー とは何ですか?

暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。 サイバーセキュリティの 暗号 カテゴリに属します。

Q: キーエスクロー からどのように防御しますか?

キーエスクロー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Q: キーエスクロー の別名は何ですか?

一般的な別名: 鍵リカバリ, 預託鍵。

監修Florian AmetteCybersecurity entrepreneur & security researcher

キーエスクローとは何ですか?

キーエスクロー暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。

キーエスクロー(key escrow)は、企業の鍵管理システム、HSM、ベンダー、または政府機関などの指定された受託者に暗号鍵のコピーを預け、本来の保有者が利用できなくなった場合や鍵を紛失した場合、合法的なアクセスが必要となった場合に鍵を回復できるようにする仕組みです。企業では、ディスク暗号化の回復鍵(BitLocker、FileVault、LUKS)やメール暗号化鍵を保管しておくことで、退職やハードウェア故障によるデータ喪失を防ぐのが一般的です。1993 年の Clipper Chip のような政府主導のエスクロー方式は、エンドツーエンドの安全性を損ない高価値の攻撃対象を生み出すため、歴史的に強い批判を受けてきました。安全な設計では、Shamir 秘密分散による鍵分割、厳格なアクセス制御、詳細な監査ログを組み合わせます。

● 例

01
Microsoft BitLocker は回復鍵を Active Directory や Microsoft Entra ID にエスクローできる。
02
組織の PKI が S/MIME の復号鍵をエスクローし、鍵紛失後でも暗号化メールを復元できるようにする。

● よくある質問

キーエスクローとは何ですか?

暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。サイバーセキュリティの暗号カテゴリに属します。

キーエスクローとはどういう意味ですか?

暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。

キーエスクローからどのように防御しますか?

キーエスクローに対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

キーエスクローの別名は何ですか?

一般的な別名: 鍵リカバリ, 預託鍵。

● 関連用語

● 関連項目

マスター鍵

キーエスクロー とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

キーエスクローとは何ですか?