自分のキーを使用した暗号化 (BYOK)
Last updated
Last updated
すべての顧客データは、AES-256キー暗号化を使用してAmazon Web Services (AWS) に静的に暗号化されています。 さらに、各顧客専用のキーを使用して二重の暗号化層を追加することも可能です。
通常、Nexthink がこれらのキーを管理しますが、ご自身の暗号化キーを管理するために独自キーの持ち込み (BYOK) モデルを選択することもできます。 BYOK を利用開始するには、AWS アカウントが必要です。 AWS キー管理サービス (KMS) 以外でキーを管理するために、外部キー保管庫が必要になる場合があります。 BYOK を有効にするには、Nexthink サポートにお問い合わせください。
この高度なセキュリティ機能は、Security Plus という追加のライセンス付きモジュールの対象となります。
静的に暗号化されて保存される以下の個人情報:
SID
name
distinguished name
hardware serial number BIOS
hardware serial number chassis
hardware serial number machine
hardware product ID
public IP address
local admins
SID
name
Entra ID name
Entra ID email
Entra ID distinguished name
Entra ID full name
Entra ID cloud SID
Entra ID user principal name
AD on-premises SID
Nexthink はエンベロープ暗号化戦略を採用し、2セットの鍵を使用しています:
データ暗号化キー (DEK): 実際のデータを暗号化
キー暗号化キー (KEK): データ暗号化キーを暗号化
AES-256 暗号化を使用して、DEK とデータの両方を管理します。 BYOK のシナリオでは、KEK のみを管理します。
デフォルトでは、NexthinkはAWSアカウントのAWS KMSにKEKを保存して管理します。 BYOK を使用すると、顧客は自分のキー保管庫で KEK を保存および管理できます。
ここでは、KEK はあなたの AWS KMS アカウントに保存されます。
Nexthink は、AWS KMS でキーに追加されたポリシーを通じて KEK にアクセスします。
外部キー管理サービスを使用する場合、AWS KMS を 外部キー保管庫 に接続し、AWS KMS 内にキーを作成します。 詳しくは、AWS ドキュメントページを参照してください。
KEK または DEK が回転すると、新たに暗号化されたデータは更新されたキーによって保護されます。 その間、既存のデータは以前のキーで暗号化されたまま維持され、データの整合性を損なうことなくシームレスな復号プロセスを確保します。
データ暗号化キー
7日ごとに回転
キー暗号化キー
Nexthink 管理時は毎年回転 BYOK モデルでは顧客によって定義
Nexthink は、AWS キー管理サービスの高度な機能を活用する回転メカニズムを設計しています。
BYOK の場合、KEK が削除されたりキーへのアクセスが不可能になった場合、データへのアクセスは Nexthink の内部メモリキャッシュの有効期間中のみ可能です。 メモリキャッシュが期限切れになると、暗号化されたデータへのアクセスは不可能となります。
KEK が回転すると、Nexthink のデータ収集システムは新たに生成されたデータ暗号化キーごとにこの新しい KEK を使用します。例として、DEK の回転時などです。 DEK 回転期間の後、すべての新しいデータは新しい KEK で暗号化されます。 DEK 回転期間が過ぎた後でも KEK の旧バージョンへのアクセスを保持することが必要です。これは、KEK 回転前に取得した情報を復号するためです。例として、長期間オフラインだったデバイスなどがあります。
詳しくは、独自キーの持ち込み (BYOK) FAQ のドキュメント (Nexthink Community ユーザー向け) を参照してください。
