# 独自のキー(BYOK)暗号化
すべての顧客データは、AES-256キー暗号化を使用してAmazon Web Services (AWS) に静的に暗号化されています。 さらに、各顧客専用のキーを使用して、暗号化の第二層を追加することが可能です。これには次の方法があります:
* **Nexthink**によって管理されるキーを使用した暗号化
* 顧客が管理するキーを使用した暗号化 **(BYOK)**
{% hint style="info" %}
BYOK (Bring Your Own Key) セキュリティ機能には、追加の *Security Plus* ライセンスが必要です。
{% endhint %}
[Nexthink サポート](https://support.nexthink.com/)に連絡して、BYOKを有効にしてください。
## 暗号化データの範囲
静的に暗号化されて保存される以下の個人情報:
| Device | User |
| ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| - SID
- name
- distinguished name
- hardware serial number BIOS
- hardware serial number chassis
- hardware serial number machine
- hardware product ID
- public IP address
- local admins
| - SID
- name
- Entra ID name
- Entra ID email
- Entra ID distinguished name
- Entra ID full name
- Entra ID cloud SID
- Entra ID user principal name
- AD on-premises SID
|
## **暗号化アルゴリズム**
Nexthink はエンベロープ暗号化戦略を採用し、2セットの鍵を使用しています:
* **データ暗号化キー (DEK)**: 実際のデータを暗号化
* **キー暗号化キー (KEK)**: データ暗号化キーを暗号化
AES-256 暗号化を使用して、DEK とデータの両方を管理します。 BYOK のシナリオでは、KEK のみを管理します。
## **BYOK オプション**
デフォルトでは、NexthinkはAWSアカウントのAWS KMSにKEKを保存して管理します。 BYOK を使用すると、顧客は自分のキー保管庫で KEK を保存および管理できます。
BYOKを使用するには、AWSアカウントが必要です。 AWS Key Management Service (KMS) の外でキーを管理するために、外部キー管理ストアが必要になることがあります。
{% hint style="info" %}
[Nexthink Community ユーザー向け](https://edocs.nexthink.com/ja/nexthink-infinity/infinity-specifications/bring-your-own-key-byok-faq#what-are-the-prerequisites-for-using-byok-with-aws-key-management-service-kms)で利用可能な[BYOKに関するFAQ](https://edocs.nexthink.com/ja/)を参照して、AWS Key Management Service (KMS) と共にBYOKを使用するための**前提条件**を確認してください。
{% endhint %}
| AWS キー管理サービスを使用(推奨) | 外部キー保管庫を使用 |
| ---------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ここでは、KEK はあなたの AWS KMS アカウントに保存されます。
Nexthink は、AWS KMS でキーに追加されたポリシーを通じて KEK にアクセスします。
| 外部キー管理サービスを使用する場合、AWS KMS を [外部キー保管庫](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.md) に接続し、AWS KMS 内にキーを作成します。 詳しくは、[AWS ドキュメントページ](https://docs.aws.amazon.com/kms/latest/developerguide/plan-xks-keystore.md)を参照してください。 |
## キーの回転
KEK または DEK が回転すると、新たに暗号化されたデータは更新されたキーによって保護されます。 その間、既存のデータは以前のキーで暗号化されたまま維持され、データの整合性を損なうことなくシームレスな復号プロセスを確保します。
| キーの種類 | 回転期間 |
| -------- | ---------------------------------------------- |
| データ暗号化キー | 7日ごとに回転 |
| キー暗号化キー | Nexthink 管理時は毎年回転
BYOK モデルでは顧客によって定義
|
Nexthink は、[AWS キー管理サービス](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.md)の高度な機能を活用する回転メカニズムを設計しています。
BYOK の場合、KEK が削除されたりキーへのアクセスが不可能になった場合、データへのアクセスは Nexthink の内部メモリキャッシュの有効期間中のみ可能です。 メモリキャッシュが期限切れになると、暗号化されたデータへのアクセスは不可能となります。
KEK が回転すると、Nexthink のデータ収集システムは新たに生成されたデータ暗号化キーごとにこの新しい KEK を使用します。例として、DEK の回転時などです。 DEK 回転期間の後、すべての新しいデータは新しい KEK で暗号化されます。 DEK 回転期間が過ぎた後でも KEK の旧バージョンへのアクセスを保持することが必要です。これは、KEK 回転前に取得した情報を復号するためです。例として、長期間オフラインだったデバイスなどがあります。
詳しくは、Nexthink Communityユーザー向けに提供されている[独自キー(BYOK)についてのFAQ](https://edocs.nexthink.com/ja/nexthink-infinity/infinity-specifications/bring-your-own-key-byok-faq)ドキュメントを参照してください。