翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
保存データのエンタープライズ暗号化戦略の作成
Venki Srivatsav、Andrea Di Fabio、Vikramaditya Bhatnagar、Amazon Web Services (AWS)
2022年9月 (ドキュメント履歴)
多くの企業は、データ漏えいによるサイバーセキュリティの脅威を懸念しています。データ侵害が発生すると、権限のない人がネットワークにアクセスし、企業データを盗みます。ファイアウォールとマルウェア対策サービスは、この脅威からの保護に役立ちます。実装できるもう 1 つの保護は、データ暗号化です。このガイドの「データ暗号化について」セクションでは、データ暗号化の仕組みと使用可能な種類について詳しく説明しています。
暗号化について話すとき、一般的に言って、データには 2 種類あります。転送中のデータとは、ネットワークリソース間など、ネットワーク内を活発に移動しているデータです。保存データとは、ストレージ内のデータなど、静止していて休止しているデータです。この戦略は、保管中のデータに焦点を当てています。転送中のデータの暗号化の詳細については、「転送中のデータの保護 (AWSWell-Architected フレームワーク)」を参照してください。
暗号化戦略は、順次開発する 4 つの部分で構成されます。暗号化ポリシーは、上級管理職によって決定され、暗号化に関する規制、コンプライアンス、およびビジネス要件の概要を示しています。暗号化標準は、ポリシーを実装する人がそれを理解し、遵守するのに役立ちます。標準は技術的なものでも手続き的なものでもかまいません。フレームワークは、標準の実装をサポートする標準的な運用手順、構造、およびガードレールです。最後に、アーキテクチャとは、使用する環境、サービス、ツールなど、暗号化標準を技術的に実装することです。このドキュメントの目的は、ビジネス、セキュリティ、コンプライアンスのニーズに合った暗号化戦略の作成を支援することです。これには、コンプライアンスとビジネスニーズを総合的に満たせるように、保存データのセキュリティ基準を見直して実装する方法に関する推奨事項が含まれています。
この戦略では、AWS Key Management Service (AWS KMS) を使用して、データの保護に役立つ暗号鍵の作成と管理を支援します。 AWS KMSAWSは多くのサービスと統合して、保存中のすべてのデータを暗号化します。別の暗号化サービスを選択した場合でも、このガイドの推奨事項とフェーズを採用できます。
対象者
この戦略は、以下のオーディエンスを対象としています。
-
CEO、最高技術責任者(CTO)、最高情報責任者(CIO)、最高情報セキュリティ責任者(CISO)など、企業のポリシーを策定する執行役員
-
技術標準の設定を担当する技術担当者 (技術担当副社長や取締役など)
-
法定および自主的なコンプライアンス体制を含むコンプライアンスポリシーの遵守状況の監視を担当するコンプライアンスおよびガバナンス責任者
ターゲットを絞ったビジネス成果
-
Data-at-rest 暗号化ポリシー — 意思決定者と政策立案者は、暗号化ポリシーを作成し、ポリシーに影響する重要な要素を理解できます。
-
Data-at-rest 暗号化標準 — 技術リーダーは、暗号化ポリシーに基づいた暗号化標準を開発できます。
-
暗号化のフレームワーク — 技術リーダーと実装者は、ポリシーを決定する人と標準を作成する人の間の架け橋となるフレームワークを作成できます。この文脈におけるフレームワークとは、ポリシーの範囲内で標準を実装するのに役立つ適切なプロセスとワークフローを特定することを意味します。フレームワークは、ポリシーや標準を変更するための標準的な運用手順や変更管理プロセスに似ています。
-
技術的なアーキテクチャと実装 — 開発者やアーキテクトなどの実践的な実装者は、暗号化戦略の実装に役立つアーキテクチャのリファレンスを知っています。
制約事項
このドキュメントは、企業のニーズに最適なカスタム暗号化戦略を策定するのに役立つことを目的としています。これ自体は暗号化戦略ではなく、コンプライアンスチェックリストでもありません。次のトピックは、このドキュメントには含まれていません。
-
転送中のデータの暗号化
-
トークン分割
-
ハッシュ
-
コンプライアンスとデータガバナンス
-
暗号化プログラムの予算編成
これらの各トピックの詳細については、リソースを参照してください。