鍵ローテーション
鍵ローテーション とは何ですか?
鍵ローテーション1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
鍵ローテーション(key rotation)は、定期的に新しい暗号鍵を生成して古い鍵を退役させつつ、過去に保護したデータを復号できるよう一定の重複期間を確保する運用です。盗まれた 1 本の鍵で攻撃者が侵害できる暗号文や署名の量を制限し、NIST SP 800-57 などのクリプトピリオド方針を支え、より強いアルゴリズムへの移行を可能にし、PCI DSS、FIPS 140-3、SOC 2 などの基準でも求められます。代表的なパターンとしては、鍵のバージョン管理(v1、v2 など)、安定した KEK のもとで DEK を回転させるエンベロープ暗号化、AWS KMS・Azure Key Vault・Google Cloud KMS などによる自動ローテーションがあります。ローテーションは監視、安全な鍵破棄、失敗時のロールバック計画とセットで運用する必要があります。
● 例
- 01
AWS KMS は CMK の基礎となる鍵素材を毎年ローテーションしつつ、同じ Key ID を維持する。
- 02
API で利用する HMAC 署名鍵を 90 日ごとにローテーションし、7 日間の猶予期間を設ける。
● よくある質問
鍵ローテーション とは何ですか?
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。 サイバーセキュリティの 暗号 カテゴリに属します。
鍵ローテーション とはどういう意味ですか?
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
鍵ローテーション からどのように防御しますか?
鍵ローテーション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
鍵ローテーション の別名は何ですか?
一般的な別名: クリプトピリオドローテーション, 鍵ロールオーバー。