この記事の対象者:
- 組織のセキュリティ管理者
Bring Your Own Keyの概要
注 : キー管理機能を使用するには、組織で有効にする必要があります。詳しくは、 BYOK 概要のページをご覧ください。
キー管理とは何ですか?
キー管理では、自分の鍵(BYOK)を持ち込んでファイルやデータを暗号化できます。これにより、独自の暗号化キーまたはWdeskキージェネレータを使用して、データの制御と管理を維持することができます。デフォルトでは、すべてのファイルとデータが暗号化されますが、データの暗号化を管理・保持することを好む組織もあります。
誰がキー管理を利用できますか?
キーの設定を追加または変更できるのは、組織セキュリティ管理者のみです。ベストプラクティスとして、キーにアクセスさせたい人だけがこの役割に指定されるようにしてください。
役割を割り当てる方法については、組織の役割を更新するを参照してください。
キーの管理は他の機能に影響を与えますか?
キーの管理と BYOK のセキュリティ要件は、Workiva のいくつかの機能に影響します。キーをアップロードすると、以下の機能が影響を受けます:
- ホーム画面のコメント検索 - コメントの内容を検索できなくなったため、このオプションは無効になっています。
ベストプラクティス
キー管理を始めるにあたり、いくつかのベストプラクティスをご紹介します:
-
セキュリティ要件から始める
Bring Your Own Keyをいつどのように使用するかは、企業のセキュリティ要件とプロセスによって決まります。独自の暗号化キーをアップロードする場合は、セキュリティガイドラインに基づいてキーの保存方法を計画してください。次に、組織のセキュリティ要件に確実に従うために、暗号化キーのアップロード、ローテーション、削除をどのように管理するかの計画を作成します。 - まずキー管理を試してみる
Bring Your Own Keyを試してみたい場合は、組織用にキーを追加または生成する前に、カスタマー・サクセス・マネージャー(CSM)にお問い合わせください。弊社では、お客様が組織の暗号化キーを追加する前に、キーの生成と追加をテストする場所を作成することができます。 - 営業時間外に鍵管理を行う 鍵の生成、追加、ローテーションなどの鍵管理操作は、通常の営業時間外に行うことをお勧めします。
通常、問題はありませんが、暗号化キーを追加または変更する際には、新しいデータを作成または更新しないことがベストプラクティスです。 - 鍵を管理する人を2人選ぶ
組織セキュリティ管理者役割を持つ少なくとも2人のユーザーを暗号化キーの管理に割り当てることをお勧めします。これにより、万が一1名が不在の際も、バックアップを取ることができます。また、プライマリ組織管理者は組織セキュリティ管理者役割を持つことが一般的であるため、BYOKがアクティブかどうかを確認することはできますが、キーの資料にアクセスできなければ鍵を管理することはできません。
主なガイドライン
暗号化キーを作成する際には、その管理と保持のための計画があることを確認してください。Workivaはキーのコピーを保管しませんので、必ず保管してください。一般的なガイドラインとして、暗号化キーの生成と保存の適切な方法については、企業の情報セキュリティ・チームと協力してください。バイナリキーのコンテンツを含む限り、どのようなファイルタイプでもアップロードできます。
キーの要件(独自のキーをアップロードする場合にのみ適用されます):
- 256ビット対称暗号化キー
- ちょうど32バイト
- 暗号ランダム性を満たす<!--(Shannon Entropy score of 4.25 or higher)-->
キーをアップロードすると、それが上記の要件を満たしているかどうかがチェックされます。これにより、組織で確認しアクティブにする前に、有効なキーを生成してテストすることができます。
主要活動の監視
すべてのキー管理アクションは、組織のアクティビティとして記録されるため、キーが追加または変更されるたびに追跡できます。主な管理活動はコントロールの種類として表示され、詳細をクリックすると具体的なアクションを確認できます。
キーの管理に関する活動をご紹介します:
キーのアップロード - キーのアクティビティ
アクション | 概要 |
Bring-Your-Own-Key設定 | 「名前」によって「組織名」 のBring-Your-Own-Keyの設定が更新されました。 |
BYOK ステータスにアクセス | 「名前」は、組織に関連付けられているbyokキーステータスの読み取りアクションを実行しました。 |
BYOKキー素材のインポート | 「名前」は、組織に関連付けられている新しく作成されたbyokキーでインポートアクションを実行しました。 |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション開始) |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション終了) |
BYOKキー素材が失効 | 「名前」は、組織に関連付けられているbyokキーステータスの読み取りアクションを実行しました。 |
BYOKキー素材の復元 | 「名前」は、組織に関連付けられているbyokキーマ素材に取り消しアクションを実行しました。 |
キーの生成 - キーのアクティビティ
アクション | 概要 |
Bring-Your-Own-Key設定 | 「名前」によって「組織名」 のBring-Your-Own-Keyの設定が更新されました。 |
BYOKキーの生成 | 「名前」は、組織に関連付けられている新しく生成されたbyokキーで作成アクションを実行しました。 |
BYOK ステータスにアクセス | 「名前」は、組織に関連付けられているbyokキーステータスの読み取りアクションを実行しました。 |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション開始) |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション終了) |
キーのラッピング - キーのアクティビティ
アクション | 概要 |
Bring-Your-Own-Key設定 | 「名前」によって「組織名」 のBring-Your-Own-Keyの設定が更新されました。 |
BYOK ステータスにアクセス | 「名前」は、組織に関連付けられているbyokキーステータスの読み取りアクションを実行しました。 |
キー素材でBYOKをラッピング | 「名前」は、組織に関連付けられた新しく作成されたラップされたBYOKキーに対して作成アクションを実行しました。 |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション開始) |
BYOKキー素材のローテーション | 「名前」は、組織に関連付けられた生成されたbyokキーに更新アクションを実行しました(ローテーション終了) |
BYOKキー素材が失効 |
「名前」は、組織に関連付けられているbyokキーステータスの読み取りアクションを実行しました。 |
BYOKキー素材の復元 | 「名前」は、組織に関連付けられているbyokキーマ素材に取り消しアクションを実行しました。 |