AWS にデータを保存するサービスでは、サーバーサイド暗号化を使ってデータを暗号化できるため、お客様の手間を最小限に抑えることができます。そのため、Amazon の CTO である Werner Vogels は「すべてを暗号化しましょう」と頻繁に提唱しています。
組織内のすべての重要なデータが暗号化されていることを確認してください。AWS の暗号化キーではなく、お客様管理の暗号化キーを使用して機密データを暗号化することをお勧めします。そのために、AWS Key Management Service (AWS KMS) を利用できます。
お客様管理の暗号化キーを利用することには多くの利点があります。
組織内の暗号化されていないリソースは、AWS Security Hub の以下のコントロールで簡単に確認できます。
これらのコントロールは AWS Security Hub の AWS Foundational Security Best Practices 標準 を有効化すると利用可能です。また、Amazon RDS、Amazon DynamoDB、Amazon DocumentDB クラスター、Amazon OpenSearch など、他の種類のリソースの暗号化をチェックするためのコントロールも多くあります。
組織専用のハードウェアセキュリティモジュール(HSM)が必要な場合や、暗号化キーの完全な管理権限が求められる場合です。それ以外の多くの場合は、AWS KMS の使用が適しています。AWS KMS はより低コストで、マルチ AZ の高可用性を提供し、AWS 管理の HSM によってバックアップされています。ただし、CloudHSM と AWS KMS は相互に排他的ではなく、要件に応じて併用することもあります。
CloudHSM を使用する場合は、以下の点に注意してください
AWS KMSと CloudHSM の選択は、セキュリティ要件、コンプライアンス、運用負荷、コストなど、複数の要因を考慮して判断する必要があります。
ホワイトペーパーの AWS KMS 暗号化の詳細 をご参照ください