独自のキー(BYOK)暗号化
すべての顧客データは、AES-256キー暗号化を使用してAmazon Web Services (AWS) に静的に暗号化されています。 さらに、各顧客専用のキーを使用して、暗号化の第二層を追加することが可能です。これには次の方法があります:
Nexthinkによって管理されるキーを使用した暗号化
顧客が管理するキーを使用した暗号化 (BYOK)
BYOK (Bring Your Own Key) セキュリティ機能には、追加の Security Plus ライセンスが必要です。
Nexthink サポートに連絡して、BYOKを有効にしてください。
暗号化データの範囲
静的に暗号化されて保存される以下の個人情報:
SID
name
distinguished name
hardware serial number BIOS
hardware serial number chassis
hardware serial number machine
hardware product ID
public IP address
local admins
SID
name
Entra ID name
Entra ID email
Entra ID distinguished name
Entra ID full name
Entra ID cloud SID
Entra ID user principal name
AD on-premises SID
暗号化アルゴリズム
Nexthink はエンベロープ暗号化戦略を採用し、2セットの鍵を使用しています:
データ暗号化キー (DEK): 実際のデータを暗号化
キー暗号化キー (KEK): データ暗号化キーを暗号化
AES-256 暗号化を使用して、DEK とデータの両方を管理します。 BYOK のシナリオでは、KEK のみを管理します。
BYOK オプション
デフォルトでは、NexthinkはAWSアカウントのAWS KMSにKEKを保存して管理します。 BYOK を使用すると、顧客は自分のキー保管庫で KEK を保存および管理できます。
BYOKを使用するには、AWSアカウントが必要です。 AWS Key Management Service (KMS) の外でキーを管理するために、外部キー管理ストアが必要になることがあります。
Nexthink Community ユーザー向けで利用可能なBYOKに関するFAQを参照して、AWS Key Management Service (KMS) と共にBYOKを使用するための前提条件を確認してください。
ここでは、KEK はあなたの AWS KMS アカウントに保存されます。
Nexthink は、AWS KMS でキーに追加されたポリシーを通じて KEK にアクセスします。
外部キー管理サービスを使用する場合、AWS KMS を 外部キー保管庫 に接続し、AWS KMS 内にキーを作成します。 詳しくは、AWS ドキュメントページを参照してください。
キーの回転
KEK または DEK が回転すると、新たに暗号化されたデータは更新されたキーによって保護されます。 その間、既存のデータは以前のキーで暗号化されたまま維持され、データの整合性を損なうことなくシームレスな復号プロセスを確保します。
データ暗号化キー
7日ごとに回転
キー暗号化キー
Nexthink 管理時は毎年回転 BYOK モデルでは顧客によって定義
Nexthink は、AWS キー管理サービスの高度な機能を活用する回転メカニズムを設計しています。
BYOK の場合、KEK が削除されたりキーへのアクセスが不可能になった場合、データへのアクセスは Nexthink の内部メモリキャッシュの有効期間中のみ可能です。 メモリキャッシュが期限切れになると、暗号化されたデータへのアクセスは不可能となります。
KEK が回転すると、Nexthink のデータ収集システムは新たに生成されたデータ暗号化キーごとにこの新しい KEK を使用します。例として、DEK の回転時などです。 DEK 回転期間の後、すべての新しいデータは新しい KEK で暗号化されます。 DEK 回転期間が過ぎた後でも KEK の旧バージョンへのアクセスを保持することが必要です。これは、KEK 回転前に取得した情報を復号するためです。例として、長期間オフラインだったデバイスなどがあります。
詳しくは、Nexthink Communityユーザー向けに提供されている独自キー(BYOK)についてのFAQドキュメントを参照してください。
Last updated
Was this helpful?