1. 概要

1-1．はじめに

今日のクラウド環境では、企業が扱う機密情報の量と重要性が増大しており、それに伴いセキュリティおよびコンプライアンスの要求も厳格化しています。利用者自身による暗号鍵管理（BYOK；Bring Your Own Key）を採用することにより、以下のメリットが得られます。

• 独立したセキュリティ制御：利用者は自社で暗号鍵を生成・管理することで、第三者に依存しない独自のセキュリティポリシーを適用できます。
• コンプライアンス要件への対応：BYOKを利用することで、データ保護に関する監査対応や、証明書の取得などのコンプライアンス対策が強化されます。
• ユーザーエクスペリエンスの維持：当社のBYOKでは、お客様にとって追加の負担となることなく、バックグラウンドで高度な暗号化を実現することができます。

1-2．HERP Hire for Govにおける利用者暗号鍵管理の概要

HERP Hire for Govにおける利用者暗号鍵管理には、以下の特徴があります。

• AWS KMSを利用しております。
  • ハードウェアの管理やインフラの維持に煩わされることなく、暗号鍵の生成、保管、利用、消去がシンプルに行えます。
  • AWSを既に利用している場合、シンプルな設定でサービス全体のセキュリティレベルを向上させることができます。
• お客様の情報及びそのバックアップ情報を対象としております。

2．設定方法

2-1．設定の流れ

1. AWSアカウントの準備
   • AWSアカウントを新規で作成するか、または既にお客様の組織内でAWS環境をお持ちの場合はその組織内にてアカウントを作成します。本ガイドの手順を実施するには、AWS KMSのキーポリシーを編集する権限を持つIAMユーザーまたはロールが必要です。
2. CMK（カスタマー管理キー）の作成
   • AWS Management Consoleにログインし、AWS KMSのコンソールを開きます。
   • AWSリージョン の中でap-northeast-1を選択します。
   • 「カスタマー管理キー」セクションで「キーの作成」を開始します。
   • キーのタイプは「対称」、キーの使用方法は「暗号化および復号化」を選択します。
   • エイリアス（キーの名前）、説明、タグなどを設定します。
   • キー管理者を設定します。この時点では、お客さまのアカウント内のユーザーやロールのみ設定します。HERPアカウントからのアクセスは次のステップで設定します。
   • キーの自動ローテーションは有効にすることを推奨します。
   • 設定内容を確認し、キーを作成します。
3. キーポリシーの設定（HERPアカウントへのアクセス許可）
   • 作成したCMKをHERP Hire for Gov のAWSアカウント（以下、HERPアカウント）から利用できるように、キーポリシーを編集してアクセス権限を付与します。
     1. AWS KMSコンソールで、作成したCMKを選択します。
     2. 「キーポリシー」タブを選択し、「編集」をクリックします。
     3. 重要: 既存のポリシーステートメント（"Sid": "Allow access for Key Administrators" など）は変更・削除しないでください。
     4. Statement 配列内に、以下の形式で新しいアクセス許可ステートメントを追加します。
     5. 【ステートメントの説明と注意点】
        1. "Sid": 任意の識別子です（例: AllowHERPHireForGovUsage）。
        2. "Principal" → "AWS": 値として、HERP Hire for Gov から提供された「HERPアカウントのAWSアカウントID」 を arn:aws:iam::【ここにHERPアカウントID】:root の形式で正確に入力してください。
        3. "Action": HERPアカウントに許可するKMSアクションのリストです。上記のリストは一般的な例です。HERP Hire for Gov が必要とする正確なアクションリストをHERP担当者にご確認の上、指定してください。
        4. "Resource": "*": このキーに対するアクションを許可します。
     6. ポリシーの構文に誤りがないことを確認し、「変更を保存」をクリックします。
     7. HERP Hire for Govへの情報提供
        • キーポリシーの設定完了後、以下の情報をHERP Hire for Gov の担当者へご連絡ください。
          • 設定したCMKのARN (Amazon Resource Name)
            • 例:arn:aws:kms:ap-northeast-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
            • KMSキーの詳細画面で確認できます。
     8. 暗号鍵の運用に関する推奨事項
        • 暗号鍵の運用に当たっては、以下の対応を推奨します。
          • 自動ローテーション: CMK作成時に有効化するか、後から設定します。
          • モニタリング: AWS CloudTrail や Amazon CloudWatch Logs を利用して、CMKへのアクセスや利用状況を監視します。不審なアクティビティがないか定期的に確認してください。
          • アクセス権限のレビュー: 定期的にキーポリシーを見直し、不要なアクセス権限が付与されていないか確認します。

2-2．設定に必要な詳細情報

HERP Hire for Govにおける利用者暗号鍵管理の設定には、以下の情報が関連します。