BYOK（Bring Your Own Key）

クラウドサービスやSaaSを使う際に、利用者が自分で用意した暗号化鍵を使う仕組みである。

データはクラウド上に置きつつ、暗号化鍵の管理に利用者側が関与できる点が特徴である。

クラウド上のデータ暗号化に利用者管理の鍵を使うことで、鍵管理の統制を強められる。

セキュリティや監査対応に役立つが、安全性は鍵の保管方法、クラウドサービスの実装、運用ルールなどに依存する。

目的

BYOKの主な目的は、クラウド利用時のセキュリティ統制を高めることである。

鍵の生成、保管、ローテーション、無効化、監査などを自社ルールに近い形で管理しやすくなる。

特に、金融、医療、公共分野など、規制や監査への対応が求められる領域で利用されることが多い。

仕組み

一般的には、利用者が鍵を作成し、それをクラウドサービスやSaaSに登録して、データ暗号化に利用する。

サービスによっては、鍵をクラウド事業者のKMSにインポートして使う場合もある。

メリット

暗号化鍵の管理責任や操作履歴を明確にしやすくなる。

これにより、内部統制、監査対応、規制対応を進めやすくなる。

また、機密データをクラウドに置くことに対する組織的な不安を抑制しやすい。

注意点

鍵を紛失したり誤って無効化したりすると、暗号化されたデータにアクセスできなくなる可能性がある。

アプリケーションのアクセス権限、管理者権限、ログ、バックアップなどの設計はBYOKの対象外である。