AWSと暗号技術

Transcript

1. AWSと暗号技術 暗号技術の基礎から保管時・転送時の実装まで （KMS/ACM活用） 2026年01月19日 NRIネットコム株式会社 NTシステム事業二部 玉邑 考史 NRIネットコム TECH

   & DESIGN STUDY #88

2. 1 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   玉邑 考史 ( たまむら こうじ ) ◼ NRIネットコム株式会社 NTシステム事業二部 ⚫ クラウドアーキテクト / IT インフラエンジニア ⚫ DevOps / SRE ◼ 情報処理安全確保支援士（登録番号：015841） ◼ 2025 Japan ALL AWS Certifications Engineer 自己紹介

3. 2 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   暗号技術は難しい？ 暗号技術に感じる難しさ • 暗号アルゴリズムの内部: 数学的な理論、複雑な数式、実装の詳細 • セキュリティの証明: 計算量理論、攻撃手法の分析 使い方から理解するアプローチ • 各技術の特徴: 速度、鍵管理、用途の違い • 利用シーン: どこで・いつ・何を暗号化するか • AWSでの実装: サービスごとの暗号化オプション

4. 3 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   暗号技術の基礎 01 AWSにおける暗号技術 02 ベストプラクティス 03 まとめ 04

5. 4 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   1. 暗号技術の基礎

6. 5 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   2つの暗号化方式を理解する 1. 暗号技術の基礎 共通鍵暗号 1つの鍵で暗号化と復号の両方を行う 代表的なアルゴリズム: AES (Advanced Encryption Standard) 対称鍵暗号、秘密鍵暗号、慣用暗号とも呼ばれる KMSのService Quotasでは Symmetric Encryptionの リクエストレートが存在 公開鍵暗号 2つの鍵(公開鍵と秘密鍵)のペアを使用 代表的なアルゴリズム: RSA, ECC (楕円曲線暗号) 非対称鍵暗号とも呼ばれる KMSのService Quotasでは RSA、ECC＆SM2、ML-DSAと それぞれにリクエストレートが存在

7. 6 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   共通鍵暗号 1. 暗号技術の基礎 1つの鍵 (共通鍵) で暗号化と復号の両方を行う 平文データ 暗号データ 平文データ メリット • 高速: 大容量データの処理に適している • 効率的: CPUリソースの消費が少ない • シンプル: 鍵が1つだけで管理が容易 共通鍵 共通鍵 暗号化 復号 課題 • 鍵配送問題 安全に鍵を相手に渡す必要がある • 鍵の数 N人で通信する場合、N(N-1)/2個の鍵が必要

8. 7 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   公開鍵暗号 1. 暗号技術の基礎 平文データ 暗号データ 平文データ メリット • 鍵配送問題の解決: 公開鍵は自由に配布できる • デジタル署名: 本人確認・改ざん検知が可能 • 鍵管理: N人でもN組の鍵ペアでOK 課題 • 処理速度: 共通鍵暗号より大幅に遅い • データサイズ: 大容量データには不向き • 公開鍵の信頼性: 証明書による検証が必要 公開鍵 秘密鍵 暗号化 復号 2つの鍵 (公開鍵と秘密鍵) のペアを使用する

9. 8 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

   共通鍵暗号と公開鍵暗号 1. 暗号技術の基礎 両方の長所を組み合わせるかたちでハイブリッド暗号方式が広く利用されている 項目 共通鍵暗号 公開鍵暗号 鍵の数 1つの鍵 (共通鍵) で暗号化と復号の両方 を行う 2つの鍵 (公開鍵と秘密鍵) のペアを使用する 処理速度 高速 低速 鍵配送 課題あり 容易 主な用途 データの暗号保存 大容量通信の暗号化 ディスク暗号化 鍵交換 (共通鍵を渡す) デジタル署名

10. 9 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    ハイブリッド暗号方式 1. 暗号技術の基礎 HTTPS での実装例 ①公開鍵暗号で共通鍵を交換（鍵配送問題を解決 ） クライアントが生成した共通鍵(セッション鍵)を、サーバーの公開鍵で暗号化して送信 ②共通鍵暗号で本データを暗号化（高速なデータ通信 ） 以降の通信は、安全に共有できた共通鍵を使って高速に暗号化 共通鍵 公開鍵 秘密鍵 共通鍵 処理が遅くても、データサイズが小さいので問題なし 大容量でも高速に処理できる 共通鍵 共通鍵 暗号化/復号 暗号化/復号 暗号化 復号 ブラウザ Webサーバー 暗号化 共通鍵 ブラウザ Webサーバー 暗号データ データ データ

11. 10 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    その他の暗号技術 1. 暗号技術の基礎  一方向ハッシュ関数 • データが改竄されていないことを確かめるために使われる技術（正真性/完全性）  メッセージ認証コード • メッセージが期待した通信相手から来たものであること確かめるために使われる技術（認証）  デジタル署名 • なりすまし、改ざん、否認という脅威を防ぐ技術  擬似乱数生成器 • 乱数は鍵の生成という重要な役割を担う

12. 11 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    2. AWSにおける暗号技術

13. 12 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    暗号化における責任共有モデル 2. AWSにおける暗号技術 AWSの責任 インフラストラクチャの暗号化 • 物理ストレージの暗号化 • データセンター間通信の暗号化 • ハードウェアの廃棄時の消去 暗号化機能の提供 • 暗号化APIの提供 • 鍵管理サービス(KMS, CloudHSM) • 証明書管理(ACM) 顧客の責任 暗号化の有効化と設定 • サービスの暗号化オプション選択 • 適切な暗号化方式の選択 • 暗号化の有効化 鍵管理の戦略決定 • AWS管理 or 顧客管理の選択 • 鍵のアクセス制御 • 鍵のローテーション設定 AWSは暗号化の仕組みを提供 顧客は暗号化の使い方を決定

14. 13 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    暗号化における３つの視点 2. AWSにおける暗号技術 Data at Rest 保管時の暗号化 Data in Transit 転送中の暗号化 Data in Use 使用中の暗号化 ストレージ S3, EBS, EFS, Glacier HTTPS/TLS ALB, CloudFront, API Gateway Nitro Enclaves 隔離された実行環境 データベース RDS, DynamoDB, Redshift NW接続 VPN, MACsec EC2メモリ暗号化 Nitroシステムによる保護 ユーザーとして主に関与するポイント

15. 14 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    (Data at Rest) 保管時の暗号化は有効化することを推奨 2. AWSにおける暗号技術 性能への影響はほぼない サービス 性能への影響 S3 パフォーマンスに影響を与えずに自動的に 暗号化される https://docs.aws.amazon.com/AmazonS3/latest/use rguide/UsingServerSideEncryption.html EBS （EC2、RDS） 暗号化されたボリュームでは、暗号化され ていないボリュームと同じ IOPS パフォーマン スが期待でき、遅延への影響は最小限 https://docs.aws.amazon.com/ja_jp/ebs/latest/user guide/ebs-encryption-requirements.html その他の マネージドサービス EBS同様にストレージ層で暗号化が行わ れ、性能の影響も非常に少ないことが記 載されていることが多い 暗号化を有効化すべき理由 責任共有モデルの明確化 ・ AWS：物理インフラのセキュリティ ・ ユーザー：データの保護 物理的セキュリティ対策 ・ ディスク廃棄時の保護 ・ 不正アクセスからの保護 コンプライアンス要件 ・ PCI DSS、GDPR等での必要性

16. 15 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    (Data at Rest) S3の暗号化オプション 2. AWSにおける暗号技術 SSE-S3 ※デフォルトで有効化 AWS管理の暗号化キー SSE-KMS KMSで管理するキー SSE-C 顧客管理の暗号化キー 鍵の管理者 AWS 顧客(KMS) 顧客(直接管理) 鍵のローテーション 自動 自動設定可能 手動 監査ログ 限定的 CloudTrailで詳細ログ 誰がいつ使用したか記録 アプリ側で実装 アクセス制御 IAMのみ IAM + Key Policy 鍵レベルで制御可能 アプリ側で実装 追加料金 なし あり なし 運用負荷 最小 中程度 高い 適用シーン ✓ シンプルに暗号化したい ✓ 追加コストを避けたい ✓ デフォルトのセキュリティで十分 ✓ 監査証跡が必要 ✓ アクセス制御を細かく設定 ✓ コンプライアンス要件がある ✓ 鍵を完全に自社管理したい ✓ 既存の鍵管理システムがある ✓ 厳格な規制要件がある

17. 16 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    (Data in Transit) アプリケーションの通信経路における暗号化 2. AWSにおける暗号技術 クライアント AWSサービス • Amazon CloudFront • Application Load Balancer (ALB) • Amazon API Gateway 証明書管理 • AWS Certificate Manager (ACM) 暗号化通信 インターネット サーバ証明書の役割 サーバの正当性を証明 ・ なりすまし防止 公開鍵を安全に配布 ・ 安全な鍵交換を実現 通信の暗号化を確立 ・ HTTPSの基盤 通信の暗号化にはHTTPS等のTLS通信は 実現するためにサーバ証明書が必要になる AWS Certificate Manager (ACM) 自動更新が可能 秘密鍵へのアクセス不要 ※外部証明書をインポートした場合、上記メリットはありません。

18. 17 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    (Data in Transit) データセンター間・オフィスとの接続における暗号化 2. AWSにおける暗号技術 クライアント データセンター、オフィス Site-to-Site VPN ( IPsec ) Client VPN AWS 暗号化通信 インターネット Site-to-Site VPN（IPsec） • オンプレミスのデータセンターやオフィスとVPCを接続 • IPsecによる暗号化（業界標準プロトコル） • 既存のネットワーク機器と連携可能 • 冗長化のためにデュアルトンネル構成が推奨 Client VPN • リモートワーク環境からVPCへの接続 • ユーザー単位のアクセス制御が可能

19. 18 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    AWS Key Management Service (KMS) とは 2. AWSにおける暗号技術 「鍵」を安全に管理するためのマネージドサービス KMS が登場する2つのシーン Data at Rest の 鍵管理 ・ S3, EBS, RDS などのストレージ暗号化 ・ KMSキーでデータを保護 アプリケーションデータの暗号化 ・ アプリケーションから直接KMS API を呼び出し KMSでのエンベロープ暗号化 データを暗号化した鍵(データキー)を 別の鍵(KMSキー)で暗号化するという階層構造 KMSキーはKMS内で保護 ・ KMSキーはKMS内で厳重に保護 ローテーションが容易 ・ KMSキーをローテーションしても過去データ復号可能 （古い鍵も保持しているため） データキー（データを暗号化する鍵） KMSキー（データキーを暗号化する鍵）

20. 19 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    アプリケーションでのKMSによるエンベロープ暗号化 2. AWSにおける暗号技術 アプリケーション • AWS Encryption SDK KMS API ①データキーを生成（GenerateDataKey） ②「平文のデータキー」と 「KMSキーで暗号化されたデータキー」を返却 ③「平文のデータキー」でデータを暗号化 ④暗号化されたデータと暗号化されたデータキーを一緒に保存 ⑤平文のデータキーはメモリから即座に破棄 アプリケーション • AWS Encryption SDK KMS API ①暗号化されたデータキーをKMSに送信（Decrypt） ②KMSがKMSキーで復号し、平文のデータキーを返却 ③アプリケーションがデータを復号 ④平文のデータキーをメモリから破棄 パフォーマンス: 大量データの暗号化をローカルで実行（KMS APIは鍵操作のみ） セキュリティ: KMSキーはKMS外に出ない スケーラビリティ: KMS APIコール数を最小限に抑制 暗号化 復号

21. 20 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    3. ベストプラクティス

22. 21 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    AWS Well-Architected Framework 3. ベストプラクティス AWS Well-Architected Frameworkとは クラウド設計のベストプラクティス集（6つの柱で構成） • 運用上の優秀性（Operational Excellence） • セキュリティ（Security） • 信頼性（Reliability） • パフォーマンス効率（Performance Efficiency） • コスト最適化（Cost Optimization） • 持続可能性（Sustainability） ✓ 暗号化は「設定して終わり」ではなく継続的な取り組み ✓ AWSの経験に基づき、体系的に整理された設計原則とベストプラクティス 暗号化に関連するベストプラクティスを3つの観点で整理 1. 保管時・転送時・バックアップに暗号化を適用する 2. 自動化する 3. 最小権限の原則

23. 22 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    保管時・転送時・バックアップに暗号化を適用する 3. ベストプラクティス AWS Well-Architected Frameworkでのベストプラクティス SEC 8. 保管時のデータをどのように保護していますか? 安全なキー管理を実装する → 実装例）KMSの活用 保管中に暗号化を適用する →実装例）デフォルト暗号化の有効化 SEC 9. 転送時のデータをどのように保護していますか? 安全な鍵および証明書管理を実装する →実装例）ACMの活用 伝送中に暗号化を適用する →実装例）転送中の暗号化 ネットワーク通信を認証する →実装例）TLSやIPsecによるプロトコルレベルでの認証 REL 9. データはどのようにバックアップするのですか? バックアップを保護し、暗号化する →実装例）バックアップ時の暗号化（忘れやすいので注意）

24. 23 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    自動化する 3. ベストプラクティス AWS Well-Architected Frameworkでのベストプラクティス SEC 8. 保管時のデータをどのように保護していますか? 保管中のデータの保護を自動化する → 実装例）AWS Config Rules、Security Hub SEC 9. 転送時のデータをどのように保護していますか? 安全な鍵および証明書管理を実装する → 実装例）ACMによる証明書の自動更新 運用上の優秀性の柱 - 設計原則 可能な場合は安全に自動化する: クラウドでは、アプリケーションコードに使用するものと同じエン ジニアリング原理を、環境全体に適用できます。ワークロード全体とその運用（アプリケーション、 インフラストラクチャ、設定、手順）をコードとして定義し、更新できます。（中略）効果的な自 動化により、イベントへの一貫した対応を実現し、人為的ミスを最小限に抑え、オペレーターの労 力を軽減できます。

25. 24 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    最小権限の原則 3. ベストプラクティス AWS Well-Architected Frameworkでのベストプラクティス SEC 3. 人とマシンのアクセス許可はどのように管理すればよいでしょうか? 最小特権のアクセスを付与します → 例）用途・環境ごとにCMKを分離（本番/開発） アクセス許可を継続的に削減する → 例） IAM Access Analyzer キーポリシー検出 アクセスコントロールを適用する → 例） KMSキーポリシーで必要なプリンシパルのみに権限付与

26. 25 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    まとめ

27. 26 Copyright （C） Nomura Research Institute, Ltd. All rights reserved.

    基礎と実装、ベストプラクティス 4. まとめ 暗号技術の基礎を理解する 「なぜその設定が必要か」を理解する → 適切な暗号化オプションの選択につながる AWSでの実装と設定箇所を理解する 責任共有モデルに基づき、ユーザーの責任範囲を把握する → Data at Rest / Data in Transit で漏れのない暗号化を実現 ベストプラクティスに基づく実装を行う 設定して終わりではなく、継続的なレビューと改善を行う → Well-Architected Frameworkで体系的にチェック 参考書籍 • 暗号技術入門 第3版 秘密の国のアリス, 結城浩, SBクリエイティブ, 2021.
28. None