暗号化の最新情報: Cloud Storage セキュリティの新機能

※この投稿は米国時間 2021 年 9 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウドで保管、転送される機密データを保護するうえで、暗号化は欠かせません。現在、Cloud Storage は標準の Google 管理の暗号鍵をデフォルトで使用してサーバー側でデータを暗号化します。また、データの暗号化に、Cloud Key Management Service（Cloud KMS）で保存、管理される顧客管理の暗号鍵を使用することもできます。

お客様はこれまでも Cloud KMS 鍵を使用して Cloud Storage 上のデータを保護できましたが、Google Cloud はパフォーマンスの向上、コストの削減、重要なビジネス ワークロードをサポートする機能の充実を実現するために、常に暗号化サービスを更新しています。この投稿では、この分野における最新の成果をいくつかご紹介します。特に、高負荷ワークロードのパフォーマンスの向上と、複合オブジェクト作成における顧客管理の暗号鍵（CMEK）のサポートについて取り上げます。

Cloud Storage で Cloud KMS を使用する理由

Cloud KMS を使用すると、迅速かつスケーラブルな方法で鍵を一元管理でき、セキュリティとコンプライアンスのニーズを満たすのに役立ちます。Cloud KMS は顧客管理の暗号鍵（CMEK）を生成し、CMEK は Google のデフォルトの暗号鍵の上で追加の保護レイヤとして機能します。CMEK は Cloud Storage バケットにデフォルト鍵として設定でき、鍵のローテーション、置き換え、無効化を Cloud KMS 内で直接簡単に管理することも可能です。  

ソフトウェアベースの CMEK に加えて、Cloud Storage はハードウェアベースの CMEK もサポートします。こうした CMEK は、Cloud HSM サービスの一部として FIPS 140-2 レベル 3 で検証されたハードウェア セキュリティ モジュールにホストされています。これらにより、HSM クラスタの運用をご自身で管理しなくても、機密性が特に高いワークロードを保護できます。

高負荷ワークロードの KMS パフォーマンスの向上

Cloud HSM は、とりわけ医療業界や金融サービス業界などのお客様が、特に機密性の高いデータを保護するためによく使用されます。とはいえ、Cloud HSM 鍵の暗号オペレーションに適用されるデフォルトの割り当て上限により、Cloud Storage の使用時に高負荷ワークロード（Hadoop での分析ワークロードなど）を実行しようとするお客様にパフォーマンスのボトルネックが発生する可能性があります。

Google Cloud では、リクエストの帯域幅を削減し、KMS の料金を抑えるため、Cloud Storage での Cloud KMS リクエストの動作を改善し、Cloud KMS へのリクエストのバッチングを効率化しています。Cloud Storage からの同一の Cloud KMS リクエストは、新しく書き込まれたオブジェクトに対して、Cloud KMS でサポートされているすべての暗号化モード（ソフトウェアに格納された顧客管理の暗号鍵など）でバッチとしてまとめられたうえで処理されます。Cloud KMS をご利用のお客様はお気付きかもしれませんが、こうした変更により、新しいデータの暗号化、読み取り、書き込み操作の高速化、Cloud KMS 監査ログの重複除去、全体的な Cloud KMS 料金の低下が実現されています。高負荷のワークロードを実行しているお客様は KMS のスループットがかなり低下しますが、あらゆる種類の KMS 鍵の KMS 暗号オペレーションの請求額が削減され、HSM 暗号化ワークロードのスループットをスケールできるようになります。

Cloud KMS で暗号化された新規作成オブジェクトには、こうした変更が適用されます。その際、暗号化に使用されているのがソフトウェア格納型の CMEK か HSM 格納型の CMEK かは関係ありません。構成変更も不要です。Cloud KMS を Cloud Storage で使用することを検討されている場合は、Cloud KMS ページで詳細をご確認いただけます。特に、ハードウェア格納型の HSM の設定についての説明にご注目ください。

複合オブジェクト作成のための Cloud KMS のサポート

Cloud Storage での複合オブジェクト作成は現在、さまざまな種類のアプリケーションで広く使用されています。そうしたアプリケーションは、再生用に動画セグメントをつなぎ合わせるものから、分析ワークロード用に大きなデータセットをアップロードするものまで多岐にわたります。このようなアプリケーションに Cloud Storage を活用するお客様の増加に応じて、Google Cloud はさまざまな暗号化モードに柔軟に対応できるように複合オブジェクト作成機能を拡張しています。

複合オブジェクト作成は、Google が管理する暗号鍵と顧客指定の暗号鍵に加えて、顧客管理の暗号鍵でもサポートされるようになりました。これにより、機密性の高い財務データセットのとりまとめなど、ビジネス クリティカルなニーズに対応する複合オブジェクト作成を行いながらも、独自の暗号鍵管理を行っていただくことが可能になります。

顧客管理の暗号鍵で暗号化された複合オブジェクトを作成するには、Cloud KMS 鍵のリソース名を作成リクエストのクエリ パラメータとして指定し、作成する複合オブジェクトを暗号化します。JSON API の場合、クエリ パラメータ kmsKeyName に Cloud KMS 鍵のリソース名を指定したうえで次の HTTP リクエストを作成します。

XML API の場合、リクエスト ヘッダー x-goog-encryption-kms-key-name に Cloud KMS 鍵のリソース名を指定します。gsutil を使用して複合オブジェクト作成を実行する際に Cloud KMS 鍵を指定することもできます。複合オブジェクト作成を試す場合や、顧客管理の暗号鍵で暗号化された複合オブジェクトの作成を開始する場合は、Google のドキュメントをご覧ください。

改良された暗号化機能を使ってみる

Cloud Storage で機密データを保護するには、暗号化について慎重に検討することが不可欠です。複合オブジェクトを作成する場合も分析ワークロードを実行する場合も、最新の暗号化サービスを活用することで、パフォーマンスが高まり、セキュリティが強化され、ワークロードのスケーラビリティが向上します。Google Cloud は、お客様のニーズを満たしビジネス目標の達成を支援できるよう、暗号化サービスの進化に常に取り組んでいます。Cloud Storage での暗号化に着手されるにあたっては、ドキュメントで詳細をご確認ください。