S3暗号化を使用してデータを保護する

S3オブジェクト・ストレージは、事実上あらゆる種類のストレージのニーズに使用できます。重要なデータを保存する際の選択肢であり、データを保護し、必要に応じて簡単にアクセスまたはバックアップできます。Seagate Lyve Cloudの柔軟性、使いやすさ、セキュリティと組み合わせることで、企業のデータ・レイクを、より広範なマルチクラウド環境の重要なコンポーネントにできます。この記事ではデータ暗号化を取り上げ、特にS3データ暗号化がどのようにデータを保護するかをご紹介します。

データ暗号化とは

データ暗号化は、対象外のユーザがデータを読み取れないようにデータ形式を変換することです。データへのアクセス資格は、暗号化されたテキストの背後にあるオリジナル・コンテンツを表示するのに使用するキーの所有によって証明されます。暗号化されたテキストは暗号文と呼ばれます。 

暗号化には、大まかに言って次の2つのメカニズムがあります。

• 対称鍵暗号化：テキストの暗号化と復号に同じキーを使用します。
• 非対称鍵暗号化：パブリック・キーとプライベート・キーの両方を使用します。 

暗号化の安全性

暗号化は、適切な長さの暗号化キーを選べば、データの秘密性を保つ安全な方法です。256ビット暗号化はほとんどの暗号化要件の標準で、量子コンピュータが登場した後も、現実的な時間枠内で解読することはできません。しかし、それで暗号化が永遠に安全だということにはなりません。

ブルートフォースによる暗号解読は現段階ではほぼ不可能ですが、暗号化は次のような理由でしばしば危険にさらされます。

• バックドア：組織の中には、顧客データを表示したり災害時にデバッグしたりする必要に備えてコードのバックドアを設けている場合があるといわれます。バックドアは暗号化システムをバイパスして直接データにアクセスする方法です。
• プライベート・キーの処理：暗号化メカニズムの成功は、データの暗号化に使われたキーが安全に処理されるかどうかにかかっています。これは見過ごされがちですが、扱いを誤るとキーが攻撃者の手に渡ることになります。
• 政府機関からの圧力：国家安全保障上の懸念が生じると、政府機関から企業に暗号化キーを渡すよう圧力がかかる可能性があります。 
  
  

Lyve Cloud：Secure Service Standards

Lyve Cloudのデータ・セキュリティは成熟した情報セキュリティ管理システムを備えており、次の5つの分野にわたってハイパフォーマンスを提供します。

• プライバシー：アクセス制御、2要素認証、暗号化
• セキュリティ：ネットワーク・ファイアウォール、2要素認証、侵入検知
• 可用性：パフォーマンス監視、ディザスタ・リカバリ、セキュリティ・インシデント処理
• 処理の完全性：品質保証、プロセス・モニタリング
• 秘密保持：暗号化、アクセス制御、ネットワーク・ファイアウォール

Lyve Cloudのセキュリティ機能：プライバシーと暗号化 

Lyve Cloudは送信中のデータの暗号化を優先することで、情報の完全性を維持し、データ・ガバナンスに準拠し、データ・プライバシー基準を保持します。こうした機能は使いやすいLyve Cloudコンソールで管理できます。

• ログインのセキュリティ：Lyve Cloudポータルで、S3バケットとS3サブスクリプションを管理するためのユーザ・アカウントを作成できます。2要素認証を使って実行することで、プライバシーを強化できます。
• データ・コンプライアンス：Lyve Cloudポータルでバケットを作成すると、コンプライアンス・モードとオブジェクトのバージョン管理を有効にして、一定期間データを改ざんまたは変更できないように設定できます。
• S3ポリシー：Lyve Cloudポータル内で作成されたバケット用のカスタム許可を簡単に作成できます。許可を作成したアカウントには、独自のアクセス・キーが付与されます。
  

Lyve Cloud S3暗号化のしくみ

データがLyve Cloudのストレージに送信されると、SeagateはTLS (Transport Layer Security) を開始してデータの秘密性を確保します。データは最初にTLSを通過し、続いて認証およびLyve CloudのAPIプロトコルによる完全性検証を通過します。さらに、データはセキュアな鍵管理で暗号化され、次に暗号による安全な消去プロセスが実行されます。

Lyve Cloud暗号化および鍵管理とは 

データ暗号化と鍵管理はLyve Cloudの主要なセキュリティ機能です。Lyve Cloudでは、すべてのデータが保存される前に暗号化されます。データは暗号化済みであるかどうかにかかわらず、Lyve Cloud暗号化プロセスを通過します。

Lyve Cloud S3暗号化の種類 

S3は最初から暗号化をサポートしています。暗号化はオブジェクト・レベルでもバケット・レベルでも有効にでき、次の2種類を利用できます。

• クライアント提供のキーを使用するサーバサイド暗号化
• Lyve Cloud鍵管理システムが生成したキーを使用するクライアントサイド暗号化

いずれの場合でも、暗号による安全な疑似乱数ジェネレータでオブジェクト暗号化キー (OEK) が生成され、テキストではなく暗号化された形式で保存されます。 
 
2種類のLyve Cloud S3暗号化の違いは、OEKを暗号化するキー暗号化キーの違いによります。キー暗号化キーが、クライアント提供のキー、またはLyve Cloud鍵管理システムのどちらを使用したアルゴリズムによって生成されたかが異なります。 
 
S3暗号化は望ましくないユーザや攻撃者によるデータへのアクセスを確実に防ぐことができる優れた方法です。豊富なオプションがあり、コンソールを使って簡単に設定できるため、最小限のオーバーヘッドでセキュリティを最大限に強化できます。