What is Cloud Encryption

クラウドの導入が進むにつれて、企業や顧客の機密データがクラウド環境に預けられる量が増えています。 クラウド データ ストレージには、コスト、スケーラビリティ、可用性などの利点がありますが、リスクもあります。 クラウドのデータ侵害は、セキュリティの設定ミス、不適切なアクセス制御、その他の問題による一般的な脅威です。

クラウド暗号化により、組織のクラウド内でのデータ侵害のリスクを軽減できます。 クラウド環境に保存されているデータを暗号化することにより、組織は、組織のクラウド データを盗むことに成功した攻撃者が、暗号化キーにアクセスせずにそのデータを読み取ることができないようにします。

ソリューション概要を読む(英語) 詳細はこちら

What is Cloud Encryption

クラウド暗号化の重要性

クラウド デプロイメントには、パブリック インターネットや従来のネットワーク境界の外側からアクセスできます。 その結果、組織のクラウド環境への不正アクセスを許可するクラウド セキュリティ ギャップにより、攻撃者が企業や顧客の機密データを読み取ることができる可能性があります。 クラウド暗号化は、クラウド内のデータへの不正アクセスや悪用に対する強力な保護を提供するため、重要です。 強力な暗号化アルゴリズムによりデータがスクランブルされ、復号キーがなければ読み取りも使用も不可能になります。

 

データ暗号化は、利用可能なクラウド データ保護の最も効果的な方法の 1 つです。 実際、暗号化されたデータの漏洩は、復号化キーが安全である限り、データ侵害とは見なされないことがよくあります。

クラウド暗号化はどのように機能しますか?

クラウド暗号化には、ライフサイクルのすべての段階でのデータの暗号化が含まれます。 データが属する可能性のある 3 つの状態には、次のものがあります。

  • 安静時: データベースまたはディスクに格納されたデータ。
  • 輸送中: コンピューター間 (物理または仮想) で送信されるデータ。
  • 使用中:アプリケーションによってアクティブに処理されているデータ。

 

クラウド暗号化は通常、保存中のデータと転送中のデータの保護に重点を置いています。 準同型暗号化アルゴリズムを使用すると、使用中のデータの暗号化が可能です。ただし、これらのアルゴリズムは一般的に使用するには非効率すぎます。

 

クラウド内のデータの暗号化は、他のコンテキストでのデータ暗号化と同様に機能します。 まず、データにアクセスできるすべての関係者に対して共有暗号化キーが確立されます。 その後、すべてのデータはディスクに書き込まれる前、またはネットワーク経由で送信される前に暗号化され、ディスクから読み取られるとき、または受信者によって復号化されます。

クラウド暗号化の種類

組織には、クラウド環境でデータを暗号化するためのオプションがいくつかあります。 保存データの場合、次のようなオプションがあります。

  • プロバイダー ソリューション: AWS、 Azure、Google クラウド、Dropbox などの多くのクラウド ストレージ ベンダーが独自の暗号化ソリューションを提供しています。 多くの場合、これらのソリューションには組み込みのキー管理ソリューションも組み込まれています。
  • Bring-Your-Own-Key (BYOK): BYOK は、クラウド プロバイダーが提供する暗号化ソリューションを使用します。 ただし、クラウドの顧客は独自の暗号化キーを管理し、データに対するより高いレベルの制御を提供します。
  • データベース暗号化:データベース暗号化は、クラウド環境に保存されているデータベース ファイルを暗号化します。 これにより、攻撃者がディスクにアクセスした場合でも、データベースが侵害から保護されます。
  • フルディスク暗号化 (FDE): FDE は、仮想ディスク イメージを含む、特定のディスクに保存されているすべてのデータを暗号化します。 これにより、ディスク全体が読み取れなくなり、攻撃者が使用できなくなります。
  • 仮想マシン (VM) 暗号化ソリューション:組織が独自の VM をクラウドに展開する場合、それらの VM に組み込まれたソリューションを使用できます。 たとえば、組織は VM に組み込まれているフルディスク暗号化 (FDE) ソリューションを利用できます。
  • アプリケーションレベルの暗号化 (ALE): ALE を使用すると、アプリケーションが独自のデータ暗号化を管理できます。 暗号化機能はアプリケーション自体に実装されており、データのニーズに合わせて暗号化を調整できます。

クラウド暗号化の利点

クラウド環境に保存されているデータを暗号化すると、組織に次のような多くのメリットがもたらされます。

  • データ侵害のリスクの軽減:暗号化により、復号化キーがなければデータを読み取ることができなくなります。 これにより、攻撃者によってデータが盗まれたり悪用されたりするリスクが軽減されます。
  • アクセス制御:暗号化は、組織のデータへの不正アクセスからも保護します。 アクセスが正当に必要なユーザー、アプリケーションなどにのみ、復号キーが提供されます。
  • データの整合性:一部の暗号化アルゴリズムは、組み込みの整合性保護を提供します。 これは、データが攻撃者によって破損または改ざんされているかどうかを特定するのに役立ちます。
  • クラウド・コンプライアンス: 多くのデータ保護規制では、機密データへのアクセスを管理するために、組織がセキュリティ制御を導入することが義務付けられています。 多くの場合、暗号化はこれらの規制で推奨または必須の制御です。

クラウド暗号化の課題

暗号化は、クラウド内のデータを効果的に防御できます。 ただし、次のようないくつかの理由で実装が困難な場合があります。

  • リソースの使用率:データは使用前に復号化し、保存または送信前に暗号化する必要があるため、データ暗号化によりオーバーヘッドが追加されます。 これにより、追加のクラウド リソースが消費され、アプリケーションのパフォーマンスに悪影響を及ぼす可能性があります。
  • キー管理:暗号化により、データ セキュリティにはキー管理が不可欠になります。 組織は、正規のユーザーが暗号化キーにアクセスできるようにしながら、不正なアクセスから保護するのに苦労する場合があります。
  • データ損失の可能性: 暗号化されたデータを使用するには、復号化キーへのアクセスが不可欠です。 キーが失われると、組織もそのデータにアクセスできなくなります。
  • 責任共有モデル:クラウドでは、クラウドの顧客は IT インフラ スタックに完全にアクセスできません。 これにより、一部のデータ暗号化オプションの実装がより困難になる可能性があります。

チェック・ポイントで安心のクラウドインフラ

Data encryption is an essential component of a corporate cloud data security strategy. For more information on building secure cloud infrastructure, check out Check Point’s Cloud Security Blueprint. Learn more about protecting sensitive cloud metadata at rest and in transit and optimizing your cloud security posture with Check Point CNAPP.