暗号化を利用したデータ保護には、大きく分けて二つあります。

 一つは、SSL/TLS、IPsec、無線LAN暗号化といった「通信の暗号化」。もう一つは、ファイル暗号化・暗号化ファイルシステム・データベース暗号化・ブロックデバイス暗号化といった「保管データの暗号化」です。

 AWSの主なサービスでは、ロードバランサーのELB、外付けディスクのAmazon EBS、オブジェクトストレージのAmazon S3、リレーショナルデータベースのAmazon RDSなどが、通信の暗号化または保管データの暗号化の機能を備えています。

 まず前提知識として、暗号化と暗号鍵管理の代表的な方法を説明します。

 一般にデータの暗号化方式には、大きく分けて「対称暗号化方式」と「非対称暗号化方式」の二つがあります。対称暗号化方式は、暗号化と復号に同一の秘密鍵を使用します。非対称暗号化方式では秘密鍵と公開鍵のペアを用意し、データを公開鍵で暗号化して秘密鍵によって復号したり、秘密鍵で暗号化して公開鍵で復号したりします。

 非対称暗号化方式の利点は、インターネットなどを通じて安全に暗号化したデータをやり取りできることです。例えば、公開鍵でデータを暗号化して送り、受け取った相手は秘密鍵で復号する、といった具合です。

 一方、対称暗号化方式の利点は、非対称暗号化方式より処理負荷が軽いことです。そのため、クローズドなネットワーク内での暗号化やシステム内部での暗号化には、対称暗号化方式が適しています。

 処理速度に優れる対称暗号化方式について、詳しく説明します。

 対称暗号化方式の暗号鍵(データキー)は、AES(Advanced Encryption Standard)などの暗号化アルゴリズムで使用されます。簡単に言うと、データキーによってファイルを暗号化し、暗号化ファイルを生成します。

 ここで、データキーの管理が問題になります。データキーによって暗号化だけでなく復号もできるので、誰でもアクセスできる場所に、暗号化ファイルと一緒に置いておくわけにはいきません。データキーを必要とする特定のリソース(暗号化ファイルを使用するリソース)だけに配布する必要があります。

 データキーを安全に管理する典型的な方法は「マスターキー」と呼ばれる別の暗号鍵で暗号化することです。さらにセキュリティを高めるため、マスターキーを別の暗号鍵で暗号化することもできますが、管理が複雑になるので得策ではありません。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経クロステック ラーニング/日経クロステックには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら