企業向けのクラウド型コンテンツ共有サービス「Box」を提供する米ボックス(Box, Inc.)が2月10日、新ソリューション「Box EKM(エンタープライズ・キー・マネジメント)」を発表した。コンテンツの暗号鍵を顧客自身で管理する仕組みを提供する。
Boxでは現在、ユーザーがアップロードしたすべてのコンテンツファイルを、ファイルごとに異なる暗号鍵(Box鍵)で暗号化したうえで保存している。Box EKMでは、このBox鍵をさらに顧客企業自身の暗号鍵(顧客鍵)で暗号化して、個客側環境に保存する。これにより、顧客自身でなければ(たとえBoxであっても)ファイル内容にアクセスできない、高度にセキュアな環境を実現する。
顧客鍵で暗号化されたBox鍵は、アマゾンウェブサービス(AWS)が提供する「AWS CloudHSM」サービスで管理される。AWS CloudHSMは、ジェムアルト傘下のセーフネット(Safenet)が提供する鍵管理アプライアンス「Luna SA HSM」を、顧客専有の仮想プライベートクラウド環境を使って提供するサービス。BoxとAWSはセキュアな通信路で接続される。
Box EKMの暗号化の流れ(ブログより)。ファイルを暗号化したBox鍵を、さらに顧客自身の暗号鍵で暗号化し、AWSクラウド上のHSM(Hardware Security Module)アプライアンスで安全に管理する。なお、オンプレミスにはバックアップ用のHSMアプライアンスを配置する
ボックスのCEOであるアーロン・レヴィ(Aaron Levie)氏は、Box EKMを発表するブログ投稿の中で、顧客自身で独占的な鍵管理を行えること、鍵の利用状況に関する完全な監査ログが取得できること、復号されたファイルや暗号鍵は一切ディスクに記録されない(すべてメモリ上で処理される)こと、などを説明している。
「Box EKMは、最高レベルの情報保護を必要とする顧客に対し、クラウド導入における最後の障壁を取り払った」(レヴィ氏)
現在、Box EKMはベータ版サービスが提供されている。米国での正式提供開始は今年春からを予定しているが、日本での提供時期は未定。
