Cloud Security Alliance クラウドネイティブな鍵管理サービスを利用するための推奨事項

こんにちは、丸山満彦です。

Cloud Security Allianceがをクラウドネイティブな鍵管理サービスを利用するための推奨事項を公表していますね・・・

いろいろなモノがクラウドネイティブになっていくでしょうね。。。これから、、、

そうなると、セキュリティ機能の大半もクラウド上に載っていき、設定の問題になるのでしょうかね。。。

セッキュリティコンサルもそうなると範囲が狭くなっていくのかもしれませんね。。。

 

● Cloud Security Alliance (CSA)

・2021.09.14 クラウドネイティブな鍵管理サービスを利用するための推奨事項

Recommendations for Adopting a Cloud-Native Key Management Service	クラウドネイティブな鍵管理サービスを採用するための推奨事項
The purpose of this document is to provide general guidance for choosing, planning, and deploying cloud-native Key Management Systems (KMS). The guidance within will provide recommendations that address technical, operational, legal, regulatory, and financial aspects of leveraging a cloud-native KMS. The goal is to optimize business outcomes, including agility, cost, and compliance.	本文書の目的は、クラウド・ネイティブな鍵管理システム（KMS）を選択、計画、導入するための一般的なガイダンスを提供することである。このガイダンスでは、クラウド・ネイティブな KMS を活用する際の技術的、運用的、法的、規制的、財務的な側面に対応する推奨事項を提供する。その目的は、アジリティ、コスト、コンプライアンスなどのビジネス成果を最適化することにあります。

・[PDF] 簡単な質問に答えるとダウンロードできます

 

Acknowledgments	謝辞
1. Introduction	1. はじめに
1.1 Purpose	1.1 目的
1.2 Scope	1.2 対象範囲
1.3 Target Audience	1.3 対象となる読者
2. Cloud-Native KMS Overview	2. クラウドネイティブなKMSの概要
3. Choosing a Cloud-Native KMS	3. クラウドネイティブなKMSの選択
3.1 Technical Considerations	3.1 技術的検討事項
3.1.1 Hardware Security Module (HSM) Backed Keys	3.1.1 ハードウェア・セキュリティ・モジュール(HSM)を使った鍵のバックアップ
3.1.2 General Technical Considerations	3.1.2 一般的な技術的検討事項
3.2 Operational Considerations	3.2 運用面での検討事項
3.3 Regulatory Considerations	3.3 規制に関する検討事項
3.4 Legal Considerations	3.4 法律面での検討事項
3.5 Financial Considerations	3.5 財務上の検討事項
4. Planning a Cloud-Native KMS	4. クラウドネイティブなKMSの計画
4.1 Technical Considerations	4.1 技術的な検討事項
4.1.1 Identity and Access Management	4.1.1 アイデンティティおよびアクセス管理
4.1.2 Shared Responsibilities	4.1.2 責任の共有
4.1.3 Separation of Duties (SOD)	4.1.3 義務の分離(SOD)
4.1.4 General Technical Considerations	4.1.4 一般的な技術的検討事項
4.2 Operational Considerations	4.2 運用上の検討事項
4.3 Regulatory Considerations	4.3 規制に関する検討事項
4.4 Legal Considerations	4.4 法律上の検討事項
4.5 Financial Considerations	4.5 財務上の検討事項
5. Deploying a Cloud-Native KMS	5. クラウドネイティブなKMSの導入
5.1 Technical Considerations	5.1 技術的検討事項
5.2 Operational Considerations	5.2 運用上の検討事項
5.3 Regulatory Considerations	5.3 規制に関する検討事項
5.4 Legal Considerations	5.4 法律上の検討事項
5.5 Financial Considerations	5.5 財務上の検討事項
6. Conclusion	6. 結論
7. References	7. 参考文献
Appendix A: Acronyms	附属書A：頭字語
Appendix B: Glossary	附属書B：用語集

 

 

・Cloud Key Management

・2021.03.01 クラウドサービス使用時の鍵管理-日本語翻訳

・2020.11.09 Key Management in Cloud Services

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.10 Cloud Security Alliance Japanが「クラウドサービスの鍵管理」を翻訳していましたね。。。 at 2021.03.01

・2020.11.11 Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

　

1. Introduction	1. はじめに
It is recommended that readers review Key Management When Using Cloud Services before reading this document.	このドキュメントを読む前に、「Key Management When Using Cloud Services」を読むことを勧めます。
Cloud-native key management systems offer organizations of any size and complexity a low-cost option for meeting their needs for key management, particularly for cloud services within the same provider. The cloud-native KMS operates as a Platform-as-a-Service (PaaS) where the provider operates all hardware, network, and software platform resources and the customer simply provisions KMS artifacts (e.g. keys, vaults, secrets, policies) and directs applications to leverage the cloud-native KMS artifacts.	クラウドネイティブな鍵管理システムは、組織の規模や複雑さに関わらず、鍵管理のニーズを満たすための低コストの選択肢を提供します。特に、同じプロバイダー内のクラウドサービスの場合は、そのような選択肢があります。クラウドネイティブな KMS は PaaS（Platform-as-a-Service）として動作し、プロバイダがすべてのハードウェア、ネットワーク、およびソフトウェアのプラットフォームリソースを運用し、顧客は KMS アーティファクト（鍵、金庫、秘密、ポリシーなど）をプロビジョニングし、アプリケーションにクラウドネイティブな KMS アーティファクトを活用するよう指示するだけです。
A cloud service provider’s key management system (KMS) often has strong ties to its other cloud services. This same cloud-native KMS can also be used with a customer’s [on-premises] technologies and cloud services from other providers. Integrating a cloud KMS with an organization’s assets spanning traditional private data centers and private and public cloud services in various geographic locations presents multiple challenges: technical, operational, legal, regulatory, and financial.	クラウドサービスプロバイダの鍵管理システム（KMS）は、多くの場合、他のクラウドサービスと強い結びつきを持っています。この同じクラウドネイティブKMSは、顧客のオンプレミス技術や他のプロバイダーのクラウドサービスでも使用することができます。クラウドKMSを、様々な地域にある従来のプライベートデータセンターやプライベートおよびパブリッククラウドサービスにまたがる組織の資産と統合することは、技術的、運用的、法的、規制的、財政的など、複数の課題をもたらします。
As a general rule, the confidentiality and integrity of major cloud service providers are considered strong and well-attested. Because of this, when an organization/customer/or other contentappropriate agent selects a cloud-native KMS, simplicity and availability are typically the overriding concerns. This is because key management systems are often fundamental to the availability of other technology systems. Therefore, downtime can have a catastrophic, cascading business impact. Though legal and regulatory obligations are undoubtedly important, operational reliability should not be sacrificed for these obligations unless there is a clear understanding and acceptance from both IT and business leadership.	一般的に、主要なクラウドサービスプロバイダの機密性と完全性は強固であると考えられています。このため、組織、顧客、その他のコンテンツに適したエージェントがクラウドネイティブなKMSを選択する場合、一般的にはシンプルさと可用性が最優先されます。これは、鍵管理システムが他の技術システムの可用性の基礎となることが多いためです。そのため、ダウンタイムが発生すると、ビジネスに壊滅的な影響を与える可能性があります。法規制上の義務が重要であることは間違いありませんが、IT部門とビジネス部門の両方のリーダーが明確に理解し、納得していない限り、これらの義務のために運用の信頼性を犠牲にしてはいけません。
Key management systems typically have a low cost of ownership relative to most information technology systems. With the use of a well-established, top-tier cloud vendor, security is likely going to be as good as, or better, than most on-premises key management systems for most organisations. With the advent of cloud-based key management systems, the cost of deployment and operation can be further reduced. Therefore, financial considerations are likely going to be of the least concern to organizations in terms of a business driver/benefit. However, the cost is not an area to ignore when using cloud key management systems because the cost is typically a function of transactions. For that reason, an understanding of transaction volume and the drivers of transactions will be necessary to estimate service cost and perform charge-back where warranted.	鍵管理システムは、一般的に多くの情報技術システムと比較して所有コストが低く抑えられています。確立された一流のクラウドベンダーを利用すれば、ほとんどの組織において、オンプレミスの鍵管理システムと同等かそれ以上のセキュリティを実現できる可能性があります。また、クラウド型の鍵管理システムが登場したことで、導入や運用にかかるコストを大幅に削減することができます。したがって、ビジネス上の推進力／利益という点では、財務的な検討は組織にとって最も関心の低いものになるだろう。しかし、クラウド鍵管理システムを使用する際には、コストは一般的にトランザクションの関数であるため、コストを無視することはできません。そのため、サービスコストを推定し、必要に応じてチャージバックを行うためには、取引量と取引の要因を理解する必要があります。
6. Conclusion	6. 結論
Adopting a cloud-native KMS need not be more complicated than the adoption of any public cloud service. However, because a KMS is often a core utility, it warrants treatment similar to that of other systems of this kind like directory and other identity services. Like all information systems, ensuring that the necessary talent is available and given sufficient time to give great attention to detail will go a long way toward successful adoption. Additionally, customers must not take a “set and forget” approach to cloud key management systems, though this is a common mistake. Because keys frequently have periods of use spanning a year or more it is unfortunately common for organizations to neglect the underlying systems from which they are issued. One advantage of using a cloud KMS is that the providers have learned this lesson and are doing more and more to help customers avoid shooting themselves in the foot through neglect. This does not imply, however, that customers no longer need to pay attention. The pervasive use of keys, and the scope of data that they often apply to, makes them attractive targets for cyber attacks. Customers are strongly advised to put robust systems in place for monitoring intrusions and misuse of cloud KMS systems and artifacts.	クラウドネイティブなKMSの導入は、パブリッククラウドサービスの導入ほど複雑ではありません。しかし、KMS は多くの場合、中核的なユーティリティであるため、ディレクトリやその他の ID サービスのようなこの種の他のシステムと同様の扱いを受ける必要があります。他の情報システムと同様に、必要な人材を確保し、十分な時間をかけて細部にまで気を配ることが、導入を成功させるための大きなポイントとなります。また、よくある間違いですが、クラウドの鍵管理システムを「設定したら終わり」というアプローチで導入してはいけません。鍵の使用期間は1年以上に及ぶことが多いため、残念ながら、鍵の発行元である基盤システムをおろそかにしてしまうことが多いのです。クラウドKMSを利用する利点の1つは、プロバイダーがこの教訓を学び、顧客が怠慢による失敗を避けるための努力をしていることです。しかし、これはお客様がもはや注意を払う必要がないということを意味するものではありません。鍵が広く使用されていることや、鍵が適用されるデータの範囲が広いことは、サイバー攻撃の格好の標的となります。お客様は、クラウドKMSのシステムや成果物への侵入や悪用を監視するための堅牢なシステムを導入することを強くお勧めします。
The choice of cloud KMS need not be a significantly greater burden on an organization than a traditional non-cloud KMS system. Key factors to consider are the service contract, particularly the RTO and RPO commitments, since those will be outside the customer’s control — in contrast with a non-cloud KMS. The impact of latency and any transaction volume limitations are of particular technical concern for customers with high utilization from many applications outside the vendor of the cloud-native KMS. On the plus side, cost is often negligible in relative terms, and most customers should find that premium features are available with very reasonable terms.	クラウドKMSの選択は、従来の非クラウドKMSシステムと比較して、組織にとって著しく大きな負担になる必要はありません。考慮すべき主な要因は、サービス契約、特にRTOとRPOのコミットメントであり、これらは非クラウドKMSとは対照的に顧客の管理外となるからです。クラウドネイティブなKMSのベンダー以外の多くのアプリケーションの利用率が高いお客様にとっては、レイテンシーの影響やトランザクション量の制限は、特に技術的な懸念事項となります。プラス面としては、コストは相対的に見て無視できる程度であることが多く、ほとんどの顧客はプレミアム機能を非常にリーズナブルな条件で利用できることがわかるはずです。
Assistance with adoption should be readily available, as both the cloud KMS vendors and a robust ecosystem of systems integrators are eager to assist organizations with successful outcomes. The cloud KMS vendors see adoption as inevitably leading to further penetration of that provider’s other cloud services, and systems integrators see their involvement in adopting a cloud KMS as the foundation for future services engagements.	クラウドKMSベンダーとシステムインテグレーターの強力なエコシステムは、企業の成功を支援したいと考えているため、導入に関する支援はすぐに得られるはずです。クラウドKMSのベンダーは、導入することで、そのベンダーの他のクラウドサービスがさらに普及することを必然的に期待しており、システムインテグレータは、クラウドKMSの導入に関与することで、将来のサービス契約の基礎となることを期待しています。
The cloud KMS landscape has begun to mature into distinct differentiation across providers, offering customers great choice at the commodity end of the spectrum and a variety of feature and pricing models at the premium end. With price as a lesser concern, customers should emphasize cloud vendor relationships and responsiveness to emerging customer scenarios. When choosing a provider customers should also consider reliability and financial stability because of the long-lived natures of KMS artifacts. It is likely that consolidation will take place in this cloud service arena over the coming decade; therefore, customers should choose a provider with a strong balance sheet and commitment to providing this service as a strategic part of the provider’s architecture.	クラウドKMSを取り巻く環境は、プロバイダー間で明確な差別化が図られるようになり、コモディティ分野では豊富な選択肢が、プレミアム分野ではさまざまな機能や価格モデルが提供されています。価格はさほど気にしなくてもよいが、顧客はクラウドベンダーとの関係や、新たな顧客シナリオへの対応を重視すべきである。また、KMSの成果物は長期保存が可能であるため、プロバイダーを選ぶ際には、信頼性と財務の安定性も考慮する必要があります。今後10年の間に、このクラウドサービス分野では統合が行われる可能性があります。したがって、お客様は、バランスシートがしっかりしていて、このサービスをプロバイダーのアーキテクチャの戦略的一部として提供することを約束しているプロバイダーを選ぶべきです。