暗号
鍵ローテーション
別称: クリプトピリオドローテーション, 鍵ロールオーバー
定義
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
鍵ローテーション(key rotation)は、定期的に新しい暗号鍵を生成して古い鍵を退役させつつ、過去に保護したデータを復号できるよう一定の重複期間を確保する運用です。盗まれた 1 本の鍵で攻撃者が侵害できる暗号文や署名の量を制限し、NIST SP 800-57 などのクリプトピリオド方針を支え、より強いアルゴリズムへの移行を可能にし、PCI DSS、FIPS 140-3、SOC 2 などの基準でも求められます。代表的なパターンとしては、鍵のバージョン管理(v1、v2 など)、安定した KEK のもとで DEK を回転させるエンベロープ暗号化、AWS KMS・Azure Key Vault・Google Cloud KMS などによる自動ローテーションがあります。ローテーションは監視、安全な鍵破棄、失敗時のロールバック計画とセットで運用する必要があります。
例
- AWS KMS は CMK の基礎となる鍵素材を毎年ローテーションしつつ、同じ Key ID を維持する。
- API で利用する HMAC 署名鍵を 90 日ごとにローテーションし、7 日間の猶予期間を設ける。
関連用語
暗号鍵
暗号アルゴリズムをパラメータ化し、データの暗号化・復号・署名・認証に用いる高エントロピーな秘密または公開値。
鍵導出関数(KDF)
パスワードや共有秘密、マスター鍵などの秘密入力から、1 つまたは複数の強力な暗号鍵を導出する暗号関数。
キーエスクロー
暗号鍵のコピーを信頼できる第三者に預け、所定の条件下で権限ある主体が回復できるようにする仕組み。
セッション鍵
1 回の通信セッションを保護するために使われ、終了後に破棄される短命の対称鍵。
マスター鍵
他の鍵を導出したり、他の鍵を直接暗号化したりするために用いる、長期に保有する高価値の暗号鍵。
完全前方秘匿性(PFS)
長期鍵が将来漏洩しても過去のセッション通信が復号されないことを保証するプロトコル特性。