暗号化オプションの選択
Google Cloud Platform は顧客データを保存する際にデフォルトで暗号化します。追加で操作を行う必要はありません。さまざまな暗号鍵管理オプションが用意されており、ニーズに合わせて選ぶことができます。このページは、ストレージやコンピューティング、ビッグデータ ワークロード用など、鍵生成、保管、ローテーションの要件にどのソリューションが最適かを理解するのにお役立てください。暗号化は、広範囲なデータ セキュリティ戦略の一環として使う必要があります。
Google Cloud Platform のデータはストレージ用にサブファイルのチャンクに分割されます。各チャンクは個別の暗号鍵でストレージ レベルで暗号化されます。チャンクのデータを暗号化するための鍵は「データ暗号鍵(DEK)」と呼ばれています。Google で使用する鍵は膨大な数にのぼり、また低レイテンシと高可用性を実現する必要があるため、これらの鍵は暗号化対象のデータの近くに保存されます。DEK は「鍵暗号鍵(KEK)」を使用して暗号化(「ラップ」)されます。データを保護する DEK を保護する KEK を管理するために使用する鍵管理ソリューションは、お客様が選択できます。
| 保存データの暗号化オプション | |||
|---|---|---|---|
| ソリューション | 説明 | Google Cloud Platform での利用 | 一般的にこの方法で保護されるデータ |
| デフォルトの暗号化 | |||
| デフォルトの暗号化 |
追加で設定を行うことなく、世界クラスの暗号化を利用
|
保存データは、すべての Google Cloud Platform プロダクトでデフォルトで暗号化されます。 各プロダクトでの暗号化の粒度については、こちらをご覧ください | ほとんどのデータ |
| Cloud KMS を使用した顧客管理の暗号鍵(CMEK) | |||
| Cloud KMS を使用した顧客管理の暗号鍵(CMEK) |
クラウド サービスが直接利用できるよう、鍵をクラウドに保存
|
任意の Google Cloud Platform サービスで、Cloud KMS の鍵を使ってアプリケーション レイヤの暗号化が行えます | 独自の暗号鍵を管理する必要がある機密データ |
| 顧客指定の暗号鍵(CSEK) | |||
| 顧客指定の暗号鍵(CSEK) |
鍵をオンプレミスで保存し、クラウド サービスの暗号化に使用します
|
独自の暗号鍵を生成したり、オンプレミスで管理したりする必要がある機密データ | |