保存データの暗号化

保存データの暗号化を、さまざまな鍵管理オプションとともにデフォルトで提供

ドキュメントを読む コンソールを開く

暗号化オプションの選択

Google Cloud Platform は顧客データを保存する際にデフォルトで暗号化します。追加で操作を行う必要はありません。さまざまな暗号鍵管理オプションが用意されており、ニーズに合わせて選ぶことができます。このページは、ストレージやコンピューティング、ビッグデータ ワークロード用など、鍵生成、保管、ローテーションの要件にどのソリューションが最適かを理解するのにお役立てください。暗号化は、広範囲なデータ セキュリティ戦略の一環として使う必要があります。

Google Cloud Platform のデータはストレージ用にサブファイルのチャンクに分割されます。各チャンクは個別の暗号鍵でストレージ レベルで暗号化されます。チャンクのデータを暗号化するための鍵は「データ暗号鍵(DEK)」と呼ばれています。Google で使用する鍵は膨大な数にのぼり、また低レイテンシと高可用性を実現する必要があるため、これらの鍵は暗号化対象のデータの近くに保存されます。DEK は「鍵暗号鍵(KEK)」を使用して暗号化(「ラップ」)されます。データを保護する DEK を保護する KEK を管理するために使用する鍵管理ソリューションは、お客様が選択できます。

暗号化リーダー
KMS アイコン
保存データの暗号化オプション
ソリューション 説明 Google Cloud Platform での利用 一般的にこの方法で保護されるデータ
デフォルトの暗号化 追加で設定を行うことなく、世界クラスの暗号化を利用できます
  • データをディスクに書き込む前にデータを自動的に暗号化します
  • 各暗号鍵自体が、一連のマスターキーによって暗号化されます
  • 鍵と暗号化ポリシーは、Google の本番環境サービスと同じキーストアで、同じ方法で管理されます
詳しくはホワイトペーパーのデフォルトの暗号化をご覧ください
保存データは、すべての Google Cloud Platform プロダクトでデフォルトで暗号化されます。 各プロダクトでの暗号化の粒度については、こちらをお読みください ほとんどのデータ
Cloud KMS を使用したユーザー管理の暗号鍵(CMEK) クラウド サービスが直接利用できるよう、鍵をクラウドに保存
  • クラウドでホストされたソリューションで鍵を管理
  • 対称暗号鍵を作成、ローテーション、自動ローテーション、破棄します

任意の Google Cloud Platform サービスで、Cloud KMS の鍵を使ってアプリケーションレイヤの暗号化が行えます

独自の暗号鍵を管理する必要がある機密データ
ユーザー供給の暗号鍵(CSEK) 鍵をオンプレミスで保存し、クラウド サービスの暗号化に使用します
  • 独自の暗号鍵を Google Cloud Platform のサービスの一部として使用します
  • Google ではメモリ内の鍵を使用し、ストレージには書き込みません
  • 鍵は API サービス呼び出しの一部として指定します
CSEK の保護の仕組みの詳細を確認します
独自の暗号鍵を生成したり、オンプレミスで管理したりする必要がある機密データ