OCI Vaultについて＜マスター暗号化キー＞

Transcript

1. © 2025 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ OCI

   Vaultについて【第2回】 ～マスター暗号化キーの説明～ 2025年9月8日 (月) 下山 星夜

2. © 2025 Database Technology Inc. All Rights Reserved. 2 はじめに

   本書は、Oracle Cloud Infrastructure（以下「OCI」）内で使用可能なOCI Vaultについて、弊社の解釈による解説を付記して紹介するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報 をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

3. © 2025 Database Technology Inc. All Rights Reserved. 3 第1回：OCI

   Vaultの概要説明 第2回：マスター暗号化キーの説明 第3回：シークレットの説明 第4回：応用的なVaultの説明、全体のまとめ ※OCI Vaultは、4回に分けて機能紹介を行います。本書は2回目です。 各回のタイトル

4. © 2025 Database Technology Inc. All Rights Reserved. 4 Index

   1. これまでの復習 2. マスター暗号化キーについて 3. マスター暗号化キーの利用 4. まとめ

5. © 2025 Database Technology Inc. All Rights Reserved. 5 本資料のみかた

   ⚫ 本資料では、「一般的な内容」と「OCI固有の内容」の2種類を取り扱いま す。 ⚫ 各スライド右上に、該当する内容として『一般』または『OCI固有』のラベ ルを表示しています。 ⚫ 以下のアイコンにより、各スライドがどちらかの内容を扱っているかを一 目で判断できます。 一般 OCI固有

6. © 2025 Database Technology Inc. All Rights Reserved. 6 1.

   これまでの復習 OCI Vault

7. © 2025 Database Technology Inc. All Rights Reserved. 7 1-1：OCI

   Vaultの要素 OCI固有 OCI Vault キー管理 （暗号化キー） シークレット管理 （パスワード、SSHキー、など） HSMキー ※1 ソフトウェアキー ※1 HSM（ハードウェアセキュリティモジュール）は、 暗号化キーを安全に格納するハードウェア 本資料で解説

8. © 2025 Database Technology Inc. All Rights Reserved. 8 OCI

   Vault 暗号化キー パスワード 1-2：OCI VaultのOCIサービスとの連携の例 Database Management Encryption Object Storage ユーザ 暗号化 接続 パスワード取得 本資料で解説 OCI固有

9. © 2025 Database Technology Inc. All Rights Reserved. 9 Tips

   ：暗号化キーにおけるキー・バージョンとは 4 HSM キー・バージョン （20キー・バージョンまでは無料） ver.1 ver.2 暗号化キー ver.1 ver.1 ver.2 暗号化キーの ローテーションが可能 2 ソフトウェア キー・バージョン （無料） 古いキー・バージョンは 削除が可能 ver.1 ver.1 OCI固有

10. © 2025 Database Technology Inc. All Rights Reserved. 10 1-3：暗号化キーをローテーションする必要性

    以下のようなタイミングで、暗号化キーをローテーションする • セキュリティインシデント（暗号化キー流出など）が発生した時 • 問題が無くても、手動や自動で暗号化キーの更新を行う時 流出 OCI Vault 暗号化キー ver.1 暗号化キーの ローテーション 暗号化キー ver.2 インターネット OCI固有

11. © 2025 Database Technology Inc. All Rights Reserved. 11 2.

    マスター暗号化キーについて OCI Vault

12. © 2025 Database Technology Inc. All Rights Reserved. 12 2-1：OCIリソースの暗号化方法

    Oracle OR Oracle管理 （デフォルト設定） ユーザ管理 （オプション設定） Oracleに一任 ユーザが関与 OCI Vault OCI固有

13. © 2025 Database Technology Inc. All Rights Reserved. 13 2-2：マスター暗号化キーの階層構造について

    マスター暗号化キー OCI Vault データ暗号化キー Object Storage Block Storage データ暗号化キー データ暗号化キー自体も、 マスター暗号化キーで暗号化される （エンベロープ暗号化） OCI固有

14. © 2025 Database Technology Inc. All Rights Reserved. 14 HSM

    （FIPS140-2 Level 3に準拠） • マスター暗号化キーのエクスポート不可 • 20キーバージョンまで無料、それ以降は有料 2-3：マスター暗号化キーの保護モード マスター暗号化キー ソフトウェア • マスター暗号化キーのエクスポート可能 • 常に無料 マスター暗号化キー OR OCI固有

15. © 2025 Database Technology Inc. All Rights Reserved. 15 Tips：FIPS140-2

    Level 3 とは？ ⚫ FIPS140-2 ⚫ 暗号化モジュールの有効性を検証するためのベンチマーク ⚫ レベル ⚫ Level 1 …… 暗号化モジュールの最も基本的なセキュリティ要件 ⚫ Level 2 …… 改ざん防止の要件追加。RBAC ※が必要 ⚫ Level 3 …… RBAC ※ のセキュリティ強化。重要なセキュリティパラメータへのアクセス防止 ⚫ Level 4 …… 最高レベルのセキュリティ ※ RBAC（Role-Based Access Control）は、ユーザーの役割に合わせてアクセスを許可する機能 一般 高レベルのセキュリティ要件

16. © 2025 Database Technology Inc. All Rights Reserved. 16 2-4：マスター暗号化キーのローテーション

    手動でキーをローテーション 最新キー・バージョンは削除不可 （古いキー・バージョンは削除可能） OCI固有

17. © 2025 Database Technology Inc. All Rights Reserved. 17 2-5：OCI

    Vault画面でのキー・バージョン数確認 OCI Vaultの画面で、HSMとソフトウェアの キー・バージョンの数を確認可能 OCI固有

18. © 2025 Database Technology Inc. All Rights Reserved. 18 2-6：マスター暗号化キーのアルゴリズム

    アルゴリズム キー・バージョン のカウント キーの種類 用途 AES 1 ※1 対象キー データ暗号化・復号 RSA 2 ※2 非対称キー データ暗号化・復号 署名・署名データ検証 ECDSA 2 ※2 非対称キー 署名・署名データ検証 ※1 同じキーでデータの暗号化・復号をするので、キー・バージョンのカウントは1となる ※2 公開鍵でデータの暗号化、秘密鍵でデータの復号をするので、キー・バージョンのカウントは2となる OCI固有

19. © 2025 Database Technology Inc. All Rights Reserved. 19 2-7：マスター暗号化キーの用途

    ①暗号化・復号 暗号化キー ②署名・署名データ検証 平文データ OCI固有 ユーザ 暗号化データ ユーザ 暗号化キー 平文データ 暗号化 復号 暗号化キー メッセージ ユーザ デジタル署名 ユーザ 暗号化キー 平文データ 署名 検証

20. © 2025 Database Technology Inc. All Rights Reserved. 20 2-8：OCIリソースの暗号化手順の例

    平文データ Object Storage OCI Vault マスター暗号化キー 暗号化された データ暗号化キー データ暗号化キー （データ暗号化用） Object Storage 暗号化された データ暗号化キー ① ② ③ ④ OCI固有 暗号化データ

21. © 2025 Database Technology Inc. All Rights Reserved. 21 2-9：OCIリソースの復号手順の例

    平文データ Object Storage OCI Vault マスター暗号化キー 暗号化された データ暗号化キー Object Storage 暗号化データ 暗号化された データ暗号化キー ① ② ③ ④ データ暗号化キー （データ復号用） OCI固有

22. © 2025 Database Technology Inc. All Rights Reserved. 22 2-10：マスター暗号化キーとキー・バージョンの削除

    マスター暗号化キーもキー・バージョンも、 削除は最短でも7日後にスケジュール OCI固有

23. © 2025 Database Technology Inc. All Rights Reserved. 23 3.

    マスター暗号化キーの利用 OCI Vault

24. © 2025 Database Technology Inc. All Rights Reserved. 24 3-1：マスター暗号化キー利用前の準備の例

    ⚫ 各リソースがマスター暗号化キーを利用するために、IAMポリシーが必要 ⚫ allow service objectstorage-ap-tokyo-1 to use keys in <テナンシ/コンパートメント> ⚫ allow service blockstorage to use keys in <テナンシ/コンパートメント> ⚫ allow service fssoc1prod to use keys in <テナンシ/コンパートメント> ⚫ etc. リソース毎にIAMポリシーを作成 OCI固有

25. © 2025 Database Technology Inc. All Rights Reserved. 25 3-2：マスター暗号化キーの作成

    保護モードを選択 キーの暗号化アルゴリズムを選択 OCI固有

26. © 2025 Database Technology Inc. All Rights Reserved. 26 3-3：

    OCIリソースの暗号化設定の例（コンソール画面） 顧客管理キーを利用 マスター暗号化キーを選択 OCI固有

27. © 2025 Database Technology Inc. All Rights Reserved. 27 3-4：OCIリソースの暗号化設定（コンソール画面）の注意点

    1 暗号化に使えないアルゴリズムも選択可能な場合あり （当然、リソース作成は失敗する） OCI固有

28. © 2025 Database Technology Inc. All Rights Reserved. 28 3-5：OCIリソースの暗号化設定（コンソール画面）の注意点

    2 OCIコンソール画面では、AESキーで暗号化は出来るが、RSAキーでは出来ない。 これは、デフォルトの暗号化アルゴリズムがAESのため。 APIやOCI CLIでは、暗号化アルゴリズムを変更すればRSAキーも利用可能。 OCI固有

29. © 2025 Database Technology Inc. All Rights Reserved. 29 3-6：OCIリソースの署名設定の例（コンソール画面）

    マスター暗号化キーを選択 （認証局作成では、特定のHSMキーのみ利用可能） OCI固有

30. © 2025 Database Technology Inc. All Rights Reserved. 30 3-7：APIやOCI

    CLIでマスター暗号化キーを利用する場合 暗号化・復号化・署名・署名データ検証、いずれの場合も、 OCI Vault画面に記載されている暗号エンドポイントを利用 OCI固有

31. © 2025 Database Technology Inc. All Rights Reserved. 31 3-8：暗号化（CLI）

    ⚫ oci kms crypto encrypt ¥ --key-id <キーOCID> ¥ --plaintext <BASE64エンコードされた暗号化するデータ> ¥ --endpoint <暗号エンドポイント> ¥ --encryption-algorithm <暗号化アルゴリズム> OCI固有

32. © 2025 Database Technology Inc. All Rights Reserved. 32 3-9：復号（CLI）

    ⚫ oci kms crypto decrypt ¥ --key-id <キーOCID> ¥ --ciphertext <暗号化されたデータ> ¥ --endpoint <暗号エンドポイント> ¥ --encryption-algorithm <暗号化アルゴリズム> OCI固有

33. © 2025 Database Technology Inc. All Rights Reserved. 33 3-10：署名（CLI）

    ⚫ oci kms crypto signed-data sign ¥ --key-id <キーOCID> ¥ --message <BASE64エンコードされた署名するデータ> ¥ --endpoint <暗号エンドポイント> ¥ --signing-algorithm <署名アルゴリズム> OCI固有

34. © 2025 Database Technology Inc. All Rights Reserved. 34 3-11：署名データの検証（CLI）

    ⚫ oci kms crypto verified-data verify ¥ --key-id <キーOCID> ¥ --key-version-id <キー・バージョンOCID> ¥ --message <BASE64エンコードされた署名するデータ> ¥ --signature <BASE64エンコードされた暗号署名データ> ¥ --endpoint <暗号エンドポイント> ¥ --signing-algorithm <署名アルゴリズム> OCI固有

35. © 2025 Database Technology Inc. All Rights Reserved. 35 4.

    まとめ

36. © 2025 Database Technology Inc. All Rights Reserved. 36 4-1：マスター暗号化キーの暗号化アルゴリズムのまとめ

    AESキー RSAキー ECDSAキー • キー・バージョンのカウントは1で、キーの種類は対称キー • 暗号化・復号に利用 • デフォルトの暗号化アルゴリズム • コンソール画面、OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 暗号化・復号、署名・署名データ検証に利用 • コンソール画面では暗号化が利用不可、署名が利用可能 • OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 署名・署名データ検証に利用 • コンソール画面、OCI CLIやAPIで利用可能 OCI固有

37. © 2025 Database Technology Inc. All Rights Reserved. 37 お問い合わせ

    OCIに関するお困りごとは，ぜひ弊社までご相談ください。 お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、 お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。