Data Encryption and Key Management (暗号・鍵管理)
データを保護する暗号技術の三状態(保存時・転送時・使用時)と、KMS / HSM による鍵管理、トークナイゼーション、NIST FIPS 203/204/205 に基づくポスト量子暗号(PQC)移行の全体像を俯瞰する。
article technology ja データを保護する暗号技術の三状態(保存時・転送時・使用時)と、KMS / HSM による鍵管理、トークナイゼーション、NIST FIPS 203/204/205 に基づくポスト量子暗号(PQC)移行の全体像を俯瞰する。暗号・鍵管理
データセキュリティの根幹は「暗号化によってデータを読めなくする」ことと「その鍵を安全に管理する」ことの両輪にある。暗号化だけで鍵管理を怠ると、鍵が漏洩した時点でデータも漏洩する。本記事では保存時・転送時・使用時の三状態における暗号化技術、KMS / HSM / トークナイゼーションによる鍵管理アーキテクチャ、そして 2024-08 に NIST が正式公開したポスト量子暗号(PQC)への移行戦略を俯瞰する。
暗号化の三状態:at-rest / in-transit / in-use
データが存在する状態は三つに分類され、それぞれ異なるアプローチが必要になる。
保存時暗号化(at-rest) はディスク・データベース・オブジェクトストレージに保存されたデータを対象とする。対称暗号 AES-256-GCM が事実上の標準であり、データベース Transparent Data Encryption(TDE)、ファイルシステム暗号化(LUKS / BitLocker)、クラウドオブジェクトストレージの Server-Side Encryption(SSE)として実装される。ストレージ層で暗号化するため、物理ディスクが盗まれてもデータは読めない。
転送時暗号化(in-transit) はネットワーク経路上のデータを保護する。TLS 1.3 が現行標準であり、ハンドシェイクに ECDHE(楕円曲線 Diffie-Hellman Ephemeral)を用いて前方秘匿性(PFS)を確保する。内部サービス間(East-West)も mTLS で保護することが Zero Trust アーキテクチャの要件となっている。
使用時暗号化(in-use) は処理中のメモリ上のデータを保護する機密コンピューティング(Confidential Computing)が担う。信頼実行環境(TEE:Trusted Execution Environment)として Intel SGX・AMD SEV-SNP・Arm CCA が実装されており、ハイパーバイザーやクラウド管理者からもメモリを隔離する。AI 推論や機密データ分析での採用が進んでいる。
KMS:鍵管理サービスとエンベロープ暗号化
KMS(Key Management Service)は鍵のライフサイクル(生成・ローテーション・失効・監査)を集中管理するサービスである。主要クラウド実装として AWS KMS・Azure Key Vault・GCP Cloud KMS がある。
KMS の核心的なパターンがエンベロープ暗号化(Envelope Encryption)だ。
- データ暗号化鍵(DEK)をランダムに生成してデータを暗号化する
- DEK 自体を KMS のマスター鍵(KEK:Key Encryption Key)で暗号化する
- 暗号化された DEK をデータと共に保存する
このパターンにより、マスター鍵は KMS の外に出ることなく、大量データを効率的に暗号化できる。DEK のローテーションはデータを再暗号化せず「新しい KEK で DEK を再ラップする」だけでよい。
鍵ローテーションは攻撃者が過去の暗号文を蓄積して解読する「Harvest Now, Decrypt Later」脅威への対策としても重要であり、1 年以内の自動ローテーションが推奨される。
BYOK(Bring Your Own Key)/ HYOK(Hold Your Own Key) はクラウドベンダーの KMS にユーザー自身の鍵を持ち込む(またはオンプレミスで保持する)モデルであり、規制要件が厳しい金融・医療分野で採用される。
HSM:ハードウェアセキュリティモジュール
HSM(Hardware Security Module)は暗号演算と鍵保護を専用ハードウェアで行う物理デバイスである。鍵は HSM の改ざん耐性のある境界の内側にのみ存在し、外部からは暗号演算の結果だけが返る。
FIPS 140-3 が HSM のセキュリティ要件を定める米国連邦標準であり、Level 1〜4 の保証レベルがある。金融・政府・重要インフラでは Level 3 以上が求められる。
クラウドでは AWS CloudHSM・Azure Dedicated HSM・GCP Cloud HSM として提供される。オンプレミス製品としては Thales Luna・Entrust nShield・Utimaco SecurityServer が主要ベンダーだ。CA 局・コードサイニング・支払い処理・PKI ルート鍵など、最高機密度の鍵を守る用途に使われる。これらのベンダーは PQC アルゴリズムへの対応ロードマップも公開済みである。
KMS と HSM の使い分けは「KMS = 鍵管理の自動化・スケール」「HSM = 最高保証レベルの物理的鍵保護」であり、多くのエンタープライズ実装では KMS のバックエンドストアとして HSM を使う組み合わせを採用する。
トークナイゼーション:暗号化との違い
トークナイゼーション(Tokenization)は元データをトークン(意味を持たないランダムな代替値)に置き換え、元データはボールト(安全なデータストア)に保持する技術である。
暗号化との根本的な違いは「元データが処理システムに存在しない」点にある。暗号文は依然として元データを数学的に含むが、トークンは元データとの数学的関係を持たない(不可逆)。PCI DSS のカード番号保護で広く使われる所以だ。
Vaultless Tokenization は元データを秘密関数で変換するため、ボールトへのラウンドトリップを不要にして高スループットを実現する。可逆トークン(Format-Preserving Encryption)を使えば既存システムへの互換性を保ちながら導入できる。
ポスト量子暗号(PQC):FIPS 203/204/205 と移行戦略
量子コンピュータは Shor のアルゴリズムにより RSA・ECDSA・Diffie-Hellman を多項式時間で破る。現時点(2026-05)では実用的な暗号解読量子コンピュータは存在しないが、「Harvest Now, Decrypt Later」脅威(現在の暗号文を蓄積し、将来の量子コンピュータで解読)が政府・金融・医療分野で深刻な問題となっている。
NIST は 2024-08 に以下の 3 標準を正式公開した(情報カットオフ ~2025-08 で確認済み)。
| 標準 | 旧名称 | 用途 | 根拠となる数学的困難性 |
|---|---|---|---|
| FIPS 203(ML-KEM) | CRYSTALS-Kyber | 鍵カプセル化(鍵交換) | 格子問題(Module-LWE) |
| FIPS 204(ML-DSA) | CRYSTALS-Dilithium | デジタル署名 | 格子問題(Module-LWE) |
| FIPS 205(SLH-DSA) | SPHINCS+ | デジタル署名 | ハッシュ関数 |
FIPS 206(FN-DSA、旧 Falcon)は 2025 年初に公開予定とされていたが、2026-05 時点での最終確認は情報カットオフ外につき要確認。
用途別移行先:TLS / IPsec / 暗号化ストレージの鍵交換は ML-KEM へ、コード署名・証明書は ML-DSA または FN-DSA へ移行する。既存の RSA / ECDSA の置換が主眼であり、AES-256 対称暗号は量子攻撃に対して実質的な耐性を持つためそのまま使用できる。
CNSA 2.0(Commercial National Security Algorithm Suite 2.0)は米国 NSA が定める算式であり、古典アルゴリズムを 2030〜2035 年までに全廃することを要求している。
移行の実装面では OpenSSL 3.x + oqs-provider・liboqs・BoringSSL がソフトウェアスタックとして利用可能。HSM ベンダーも PQC 対応ロードマップを公開している。移行設計ではCrypto-Agility(アルゴリズムを設定変更で差し替えられる設計)が鍵であり、鍵サイズ・証明書フォーマット・プロトコルへの影響を早期にアセスメントすることが求められる。
機密コンピューティングと使用時暗号化の現状
従来「暗号化できない」とされてきた「使用中のデータ(計算中のメモリ)」を保護する機密コンピューティングが 2025 年以降で本格採用フェーズに入っている。
主な TEE 実装は Intel SGX(Software Guard Extensions)・AMD SEV-SNP(Secure Encrypted Virtualization - Secure Nested Paging)・Arm CCA(Confidential Compute Architecture)。クラウドでは Azure Confidential VMs・AWS Nitro Enclaves・GCP Confidential VMs として提供される。
AI 推論・医療データ分析・金融決算処理など「クラウドプロバイダーにも見せたくないが演算はさせたい」ユースケースに対応する。リモートアテステーション(attestation)によりコードと環境の完全性を暗号的に検証する仕組みを持つ。
アンチパターン:やってはいけない鍵管理
| アンチパターン | リスク |
|---|---|
| 鍵をデータと同一ストレージに保管 | ストレージ侵害で鍵とデータが同時漏洩 |
| 鍵ローテーションなし(長期固定鍵) | 鍵漏洩の影響範囲が過去全データに拡大 |
| PQC 移行未着手(2026 年時点) | CNSA 2.0 期限(2030-2035)に間に合わない / Harvest Now リスク |
| 暗号化のみで鍵管理プロセスを軽視 | 鍵紛失でデータが永久に読めなくなる |
| ソフトウェアのみで HSM 不使用(最高機密鍵) | 鍵抽出攻撃・メモリダンプ攻撃に脆弱 |
Backlinks
- related Data Protection and Classification (データ保護・分類)
- related Backup and Recovery (バックアップ・復旧)
- related Storage Security (ストレージセキュリティ)
- related ブロックチェーンの暗号技術