暗号化標準

使用する暗号化のタイプ

暗号化キーの最小仕様

暗号化キーにアクセスできるユーザー

暗号化キーを保存する場所

暗号化またはハッシュ手法を選択するときに適切なキー強度を選択する基準

キーローテーションの頻度

コストとパフォーマンスに関する考慮事項

キーアクセスコントロール

暗号化タイプ

暗号化キーの仕様

キーストレージの場所

利用可能なハードウェアリソースは、 標準を大規模にサポートできる必要があります。

暗号化のコストは、キーの長さ、データ量、および暗号化の実行に必要な時間によって異なります。例えば、対称暗号化と比較すると、非対称暗号化では長いキーが使用され、時間がかかります。

エンタープライズアプリケーションのパフォーマンス要件を検討します。アプリケーションで低レイテンシーと高スループットが必要な場合は、対称暗号化を使用することをお勧めします。

キー暗号化キーとデータキーを管理するロールを識別します。

主要なアクセス許可を定義し、ロールにマッピングします。例えば、キー管理者権限を持つユーザーと、キーユーザー権限を持つユーザーを定義します。キー管理者はキー暗号化キーを作成または変更でき、キーユーザーはデータを暗号化および復号し、データキーを生成できます。

対称暗号化アルゴリズムと非対称暗号化アルゴリズムを使用するタイミングを文書化します。詳細については、よくある質問セクション非対称暗号化が必要なのはいつですか?の対称暗号化はいつ必要ですか?「」と「」を参照してください。

エンベロープ暗号化を使用するかどうかを決定し、状況を定義します。詳細については、よくある質問セクションのエンベロープ暗号化が必要なのはいつですか?「」を参照してください。

トークナイゼーションやハッシュなど、暗号化の代替手段をいつ使用するかの基準を定義します。

対称暗号化タイプと非対称暗号化タイプの両方の最小キー強度とアルゴリズムを定義します。キー強度の要因には、長さ、ランダム性、一意性が含まれます。

暗号化アルゴリズムの新しいバージョンを実装するタイミングを定義します。例えば、標準では、リリースから 30 日以内にアルゴリズムの最新バージョンを実装するか、常に最新のリリースより 1 つ古いバージョンを使用するように指定できます。

暗号化キーをローテーションする間隔を定義します。

コンプライアンスおよび規制要件により、暗号化キーの保存先が規定される場合があります。

キーを一元的な場所に保存するか、対応するデータとともに保存するかを決定します。詳細については、よくある質問セクションの暗号化キーを一元管理する必要があるのはなぜですか?「」を参照してください。

集中型ストレージを選択した場合は、ハードウェアセキュリティモジュール (HSM) などのエンタープライズマネージドインフラストラクチャにキーを保存するか、 などのマネージドサービスプロバイダーにキーを保存するかを決定します AWS Key Management Service。詳細については、よくある質問セクションのハードウェアセキュリティモジュール (HSM) をいつ使用する必要がありますか?「」を参照してください。