ビジネスとIT
キー管理システムは、侵入や政府の要求からデータをより安全に保護します。
Boxは1年以上前から、顧客が独自の暗号化キーを管理できるようにすることで、誰がデータにアクセスできるかを制御しながらクラウドにデータを保存できるようにすることを検討してきた。
これは簡単に解決できる問題ではありません。Boxの事業は、データの共有とコラボレーションを容易にすることに基づいているからです。最も厳格なセキュリティ管理を導入すれば、44,000社もの企業がBoxに料金を支払う理由がなくなるかもしれません。
Boxは本日、この課題を解決する新製品を発表しました。「Enterprise Key Management(EKM)」と呼ばれるこのサービスは、暗号鍵を顧客自身のデータセンターとAmazonデータセンターに保管されている特別なセキュリティモジュールに保存します。Boxサービスは、共有と共同作業を可能にするために顧客のデータにアクセスする必要がありますが、EKMは顧客が希望する場合にのみアクセスを許可するとBoxは述べています。
このサービスによってBoxが政府にデータを提供するのを阻止できるかどうかという質問に対し、同社の広報担当者は次のように回答した。「お客様がBoxに要求されたコンテンツの提供を許可しない限り、Boxはコンテンツを共有できません。お客様がBox EKMをご利用の場合、お客様のコンテンツを保護する暗号鍵を保有していないため、復号化されたコンテンツを提供することはできません。」
EKM がなければ、政府の要求が有効で Box にデータの秘密保持を要求した場合、Box は顧客に通知せずに政府にデータを引き渡さざるを得なくなる可能性があります。
Boxの説明によると、EKMは政府機関からの要請を隠すことをはるかに困難にするとのことです。このサービスは現在、トヨタや世界銀行グループなど約10社でベータ版として利用されており、春にはBoxのエンタープライズ顧客向けに追加料金で一般提供される予定です。
Boxはフォーチュン500企業の48%を顧客としており、個人ユーザーは数百万人に上るが、「クラウドを導入できない顧客もまだいる。金融サービス業界の規制が厳しい企業、一部の超大手エネルギー会社、一部の大手保険会社、そして言うまでもなく政府機関や省庁だ」とBoxの共同創業者兼CEO、アーロン・レヴィ氏はArsに語った。
これらの顧客はファイル暗号化をより細かく制御したいと考えていますが、「問題は、これらのソリューションの多くが、私たちが本当に得意とするエンドユーザーエクスペリエンスを本質的に損なうことです」とレヴィ氏は述べています。「ウイルススキャン、コンテンツプレビュー、情報著作権管理といった、コンテンツに追加できる多くのインラインセキュリティ機能は、暗号化の管理をサポートしていない環境では機能不全に陥りがちです。」
仕組み
EKMは、AmazonのCloudHSMサービス内に配置されたSafeNet製のハードウェアセキュリティモジュール(HSM)を利用しています。多くのAmazonクラウドサービスとは異なり、EKMでは各顧客に専用のハードウェアが提供されます。
Amazonによると、CloudHSMは「安全な鍵管理のための政府基準に基づいて設計・検証されたHSM内で暗号鍵を保護することができます。データ暗号化に使用される暗号鍵を安全に生成、保管、管理し、自分だけがアクセスできるようにします」とのことです。
このシステムにより、Boxは必要に応じてファイルを暗号化および復号化できます。Boxのエンタープライズ製品担当副社長であるランド・ワッカー氏はArsに対し、「お客様はAmazon内にHSMが接続されている独自のプライベートネットワークを所有しています。ユニット自体へのアクセスには複数の認証方法があります。当社はHSMの鍵管理パーティションにアクセスできないため、暗号化と復号化を行う際はパブリックインターフェースのみを使用します。HSMに要求するすべてのアクションは、HSMがお客様に直接送信する変更不可能な監査ログにも記録され、お客様はこれを社内コンプライアンスに活用しています。」と述べています。
モジュールは遅延の問題を防ぐためAmazonに保管されていますが、各顧客は自社施設にバックアップのハードウェアセキュリティモジュールを保管しています。Box社は、顧客がAmazonの支援なしに暗号化ボックスを自らホストするシステムを検討しているとしていますが、Amazonの関与はほとんどの顧客にとって問題にはならないでしょう。
「SafeNetデバイス自体については、誰がホストしてもセキュリティプロファイルは変わりません」とワッカー氏は述べた。「これらのデバイスは元々、鍵をロードして遠隔地のATMや、文字通り過酷な環境にある海外の製造拠点に配送することを想定し設計されています。そのため、信頼できるサードパーティのMSP(マネージドサービスプロバイダー)ホスティング事業者がこれらのデバイスを保有していることは、私たちが話をしている顧客にとって問題ではありません。」
EKM では、暗号化プロセスは次のように行われる、とサービスの仕組みについて詳細な説明を求めたところ、Box の広報担当者は Ars に語った。
- ファイルが Box にアップロードされました (送信中は TLS で暗号化されます)。
- ファイルを暗号化するための Box キーを生成します。
- ファイルを Box Key で暗号化します。
- Box Key を安全にお客様の HSM に送信します。
- HSM は Box キーを顧客キーで暗号化し、安全に Box に送り返します。
Boxはファイルを復号する際に顧客の許可を得ています。「Boxのキーを使用する前に、お客様にHSM内で復号していただく必要があります」と同社は述べています。「これは階層化された暗号化モデルです。つまり、データ自体はお客様のキーで暗号化されていませんが、お客様のキーが復号のゲートキーパーの役割を果たします。つまり、お客様が復号するまで、Boxのキーは役に立たないのです。」
Boxがファイルの復号化のために一時的なアクセスを必要とするたびに、「お客様にアクセスをリクエストします(復号化用のドキュメントキーを送信することで)。各リクエストは、お客様が管理するログに記録されます。お客様はログを監視して、データへのアクセス方法やキーの使用方法を確認できますが、Box側でログを改変することはできません。」
顧客は各リクエストを手動で承認する必要はありませんが、通常とは異なるリクエストにはフラグが付けられます。「サービスの通常の機能(顧客が期待する機能)をサポートするために、顧客が承認するリクエストタイプ(例:ユーザー生成ダウンロードリクエスト)が用意されています」とBoxは説明しています。「承認されたリクエストタイプのいずれかに該当する場合、リクエストは自動的に承認されます。承認基準を満たさないリクエストは自動的に拒否されます。」
HSMはファイルを一切保存せず、顧客が管理するキーのみを保存するため、パフォーマンスが向上します。「お客様が保存するファイルの中には、非常に大きなものもあります。大きなファイルを送受信する代わりに、はるかに小さなキーを送信しています」とBoxは述べています。
Boxは、EKMが解決する問題に取り組む最初のクラウドストレージ企業ではありません。例えば、WatchDoxは、クラウド、オンプレミスシステム、あるいはその両方を組み合わせたハイブリッドオプションでファイル共有を提供しています。
Boxが採用しているセキュリティ技術も独自のものではありません。しかし、Boxのコラボレーションサービスに支障をきたすことなく、最大44,000人の顧客に拡張するには、数十回のブレインストーミングセッションが必要だったとレヴィ氏は述べています。そのため、同社は今回の最初のリリースではオンプレミス版のみを採用しませんでした。
「これらの問題に対処するには、当社の大規模な顧客基盤に合わせて拡張可能なアプローチが必要です。オンプレミス版から始めると、拡張が非常に困難になるため、慎重に検討した結果、オンプレミス版は除外しました」とレヴィ氏は述べた。「最終的に、最も多くの顧客に最も効率的にサービスを提供できるこのソリューションにたどり着きました。」
ジョンはArs TechnicaのシニアITレポーターです。通信業界、連邦通信委員会(FCC)の規制制定、ブロードバンドの消費者問題、訴訟、そしてテクノロジー業界に対する政府規制などを取材しています。
47件のコメント
