SaaS(Software as a Service)でBYOK(Bring Your Own Key)を実現するには、対象のSaaSがKMS(Key Management System)と接続し、エンベロープ暗号に基づく暗号化やKMSへ持ち込んだマスターキーに対応している必要がある。海外の大手SaaSは、2010年代後半からBYOKへの対応を進めている。
米セールスフォース・ドットコムは2016年にCRM(Customer Relationship Management)など自社のサービスをBYOKに対応させた。同社のセキュリティー機能「Salesforce Shield」で利用者独自の暗号鍵を指定する。この鍵をクラウドサービス上のデータを暗号化するプロセスに取り込める。
セールスフォース・ドットコムのソリューションセールスエンジニアリング本部セキュリティスペシャリストの内田 仁史氏は「暗号鍵を自ら管理することで、鍵の更新タイミングなどをコントロールできる点にメリットを感じる顧客もいる」と話す。
ビジネスチャットの「Slack」は2019年3月からBYOKに対応している。Slackの「Enterprise Grid」プランに加入した上で、「Slack Enterprise Key Management(Slack EKM)」という機能を使えば、独自の暗号鍵を利用してやりとりするメッセージなどを暗号化できる。
加えて、特定の利用者による投稿だけを、他者に見えないよう暗号化するといった制御も可能となる。
クラウドストレージの「Box」は2016年2月からBYOKに対応している。「Box KeySafe」というオプション機能を導入すれば、利用者が自身で暗号鍵を設定できる。
鍵管理の仕組みは外部を利用
これら3サービスはいずれも、鍵管理の仕組みにAWS KMSを利用する。AWS KMSで管理する独自鍵を、各SaaS上のデータを暗号化するプロセスに取り込むことでBYOKを実現する。
なおセールスフォース・ドットコムの場合「AWS KMSに限らず、当社サービスが使う鍵を復号できるKMSであれば利用できる」(セールスフォース・ドットコムのソリューションセールスエンジニアリング本部シニアマネージャーの成田 泰彦氏)としている。
サービスをBYOKに対応させる理由についてBox Japanの執行役員マーケティング部長の三原 茂氏は「米国を中心にドキュメントやコンテンツ(の安全な管理)を重要視する利用者からの需要があった。国の機関や金融機関、士業関係者などからは特に多かった」と話す。
またセールスフォース・ドットコムの内田氏によると、BYOKに対応した理由として「社内レギュレーション(規制)対応への需要が大きかった」という。
「個人情報を取り扱うなどを理由に、厳格な情報管理を必要とする企業では、(システムの調達要件などに)企業が自らレギュレーションを定めている場合がある。その中には鍵の管理方法や暗号化方式についての要件もある」(内田氏)。
BYOKへの対応は、レギュレーションがあってもなおSalesforceを使いたいというニーズに応えた結果だという。
SaaSがBYOKに対応していれば、金融機関などセキュリティー規定が厳しい企業においても導入しやすくなる。
例えばAWS KMSは、米国国立標準技術研究所(NIST)が定めるFIPS 140-2という暗号化の有効性に関する規格を満たし、安全性の高い鍵の暗号化ができる。FIPS 140-2準拠のクラウドで鍵を保管することで、FIPS 140-2未対応のクラウドでも安全に使えるようになる。
