Watson OpenScaleを使用する際にデータを安全に管理するには、どのようなデータが保管され、暗号化されるのかを正確に把握しておく必要があります。 さらに、保管されている個人データを削除する方法についても確認してください。 ユーザー管理の鍵を使用したデータ暗号化は、Watson OpenScale と一緒に Key Protect を使用することで実現できます。
Bring Your Own Key (BYOK) とは
Bring Your Own Key (BYOK) または Bring Your Own Encryption (BYOE) とは、クラウド・サービスのユーザーが暗号化ソフトウェアと暗号鍵を独自に管理することを可能にするインフラストラクチャーと方式のことです。 このインフラストラクチャーは、Data at Rest (保存されたデータ) と Data in Motion (流れているデータ) の両方を保護するセキュリティー層を追加します。
データの保管と暗号化
IBM Key Protect for IBM Cloud は、無許可アクセスや従業員の不注意によるリリースから機密データを保護し、コンプライアンス監査標準に対応します。 暗号鍵へのユーザーのアクセス要求に対する強制制御機能を備え、鍵の作成からアプリケーションでの使用、鍵のアーカイブ、鍵の破棄までに至る、鍵のライフサイクル全体を管理します。 IBM Cloud™上で Platform as a Service として提供される Key Protect は、セキュアな IBM データ・センター内にある FIPS 140-2 レベル 3 認定 (連邦情報処理標準) ハードウェア・セキュリティー・モジュール (HSM) デバイスを使用する暗号鍵をプロビジョンして保管します。
機密データの保護
保存されているデータ (保管されている場合) および移動中のデータ (転送されている場合) に対して、より高いレベルの暗号化保護および制御を追加できます。 IBM® Key Protect for IBM Cloud™との統合により、高い暗号化保護を実現します。
IBM Cloud に保管するデータは、ランダムに生成された鍵を使用して保管時に暗号化されます。 この暗号鍵をユーザーが管理する必要がある場合は、Key Protect を統合できます。 このプロセスは一般に Bring Your Own Key (BYOK) と呼ばれます。 Key Protect を使用して、暗号鍵の作成、インポート、管理を行えます。 アクセス・ポリシーを鍵に割り当てたり、ユーザーまたはサービス ID を鍵に割り当てたり、鍵へのアクセスを特定のサービスに対してのみ付与したりできます。 最初の 20 個の鍵は無料で提供されます。
カスタマー・マネージド・キーについて
Watson OpenScale は、エンベロープ暗号化を使用して、お客様管理の鍵を実装します。 エンベロープ暗号化とは、ある暗号鍵を別の暗号鍵で暗号化することです。 実際のデータの暗号化に使用される鍵は、データ暗号鍵 (DEK) と呼ばれます。 DEK そのものが保管されることはなく、DEK が鍵暗号鍵 (KEK) と呼ばれるもう 1 つの鍵によってラップされ、ラップされた DEK が作成されます。 データを復号するには、ラップされた DEK をアンラップして DEK を取得します。 このプロセスを実行するには、KEK を取得するしかありません。この場合、Key Protect に保管されているユーザーのルート鍵が、KEK に相当します。
Key Protect 鍵は、FIPS 140-2 レベル 3 認定のクラウド・ベースのハードウェア・セキュリティー・モジュール (HSM) によって保護されます。
お客様管理の鍵の有効化
Key Protect を Watson プレミアム・サービスと統合するには、IBM Cloud コンソールで以下の手順を実行します。
- Key Protect のインスタンスを作成します。
- Key Protect インスタンスにルート鍵を追加します。
- Watson サービスのすべてのインスタンスに対するアクセス権限を Key Protect に付与します。
a. 新しい認可を作成する。
b. Watsonサービスインスタンスをソースサービスとして設定します。
c. Key Protectサービスをターゲットサービスに設定する。
d. サービスアクセスを指定するリーダー・ロールを選択します。 /v2/user_preferences
エンドポイントへの API 呼び出しで、Watsonサービスのデータを暗号化する。
お客様管理の鍵の操作
user_preferences
呼び出しを行うことで、API を使用して Watson OpenScale を IBM Key Protect for IBM Cloud と統合できます。 以下のパラメーターが適用されます。
- HTTP メソッド: PUT
- エンドポイント:
- ダラス:
https://api.aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn](https://aiopenscale.cloud.ibm.com/openscale/%7Bservice-instance-id%7D/v2/user_preferences/user_root_key_crn
- フランクフルト:
https://eu-de.api.aiopenscale.cloud.ibm.com/openscale/{service-instance-id}/v2/user_preferences/user_root_key_crn](https://aiopenscale.cloud.ibm.com/openscale/%7Bservice-instance-id%7D/v2/user_preferences/user_root_key_crn
- ダラス:
- ペイロード:{"user_root_key_crn": crn:v1:staging:public:kms:us-south:a/some-bss-account-id:some-uuid:key:another-uuid}
ケース 1: 初期セットアップ時の Key Protect
Watson OpenScale インスタンスをプロビジョンします。
インスタンスをプロビジョンしたら、他の構成を行う前に、以下の手順を実行する必要があります。
- IBM Key Protect for IBM Cloud のインスタンスをプロビジョンし、インスタンスの
CRN
値を取得します。 - Watson OpenScale /v2/user_preferencesに対して API 呼び出しを行い、
{"user_root_key_crn"}
変数を指定します。
- IBM Key Protect for IBM Cloud のインスタンスをプロビジョンし、インスタンスの
データマートを作成し、そのデータベース構成を作成します。
構成サービスは、
user_root_key_crn
プロパティーで指定された IBM Key Protect for IBM Cloud に対して API 呼び出しを行います。 サービスから、ラップされた形式とラップされていない形式の新しい暗号鍵が返されます。 ラップされていない鍵形式を使用して、データベースのパスワードを暗号化してください。 ラップされた鍵形式は、インスタンスのプロパティーに保存されます。 データベースのパスワードを復号するには、ラップされた鍵形式を使用して、ラップされていない鍵形式をキャッシュから取得するか、あるいは、IBM Key Protect for IBM Cloud に対して API 呼び出しを実行して取得します。 その後、ラップされていない鍵を使用して復号します。
ケース 2: セットアップ後の Key Protect
- Watson OpenScale インスタンスをプロビジョンします。
- インスタンスをプロビジョンしたら、自動セットアップを実行するか、手動構成を行って、システムを初期化します。 このシナリオでは、データベース構成は、Key Protect のユーザー・ルート鍵で暗号化されていないパスワードを使用して作成します。
- 構成後、 IBM Key Protect for IBM Cloud のインスタンスをプロビジョンし、リソースの固有 ID として使用されるインスタンスのクラウド・リソース名
CRN
値を取得する必要があります。 - Watson OpenScale /v2/user_preferencesに対して API 呼び出しを行い、
{"user_root_key_crn"}
変数を指定します。user_root_key_crn
変数を指定すると、すべてのインスタンス・シークレットが IBM Key Protect for IBM Cloudを使用して自動的に再暗号化されます。user_root_key_crn
変数を削除すると、すべてのインスタンス・シークレットがグローバル・キーを使用して自動的に再暗号化されます。 実際の再暗号化は、前の ケース 1と同じです。
Watson OpenScale インスタンスの削除
Watson OpenScale のデータ保存ポリシーに、お客様がサービスを削除した後のデータ保管期間を記載しています。 データ保存ポリシーは、 IBM Cloud の利用条件と特記事項に記載されている Watson OpenScale サービス記述に含まれています。
詳しくは、以下のトピックを参照してください。
-
IBM Key Protect for IBM Cloud は、IBM Cloud サービス間でアプリの暗号鍵をプロビジョンするのに役立ちます。 このチュートリアルでは、お客様がデータ暗号化を一元管理できるように、Key Protect ダッシュボードを使用して暗号鍵を作成する方法や既存の暗号鍵を追加する方法を示しています。
-
IBM Key Protect for IBM Cloud は、多数の IBM Cloud サービスと統合されて、ユーザー管理の鍵を使用した暗号化をそれらのサービスで有効にします。 ユーザー管理の鍵を使用した暗号化は、Bring Your Own Key (BYOK) と呼ばれることもあります。
IBM Cloud Object Storage との統合。
IBM Key Protect for IBM Cloud と IBM® Cloud Object Storage は連携して、保存中のデータのセキュリティーをユーザーが管理するのを支援します。 IBM Key Protect サービスを使用して IBM® Cloud Object Storage のリソースに拡張暗号化を追加する方法を説明しています。
-
IBM Cloud コンソールまたは IBM Cloud CLI を使用して、IBM Key Protect for IBM Cloud のインスタンスを作成できます。
親トピック: 機密保護