AWS KMS 暗号化キー管理サービスの基本概要
AWS KMS(Key Management Service)は、暗号化キーの作成、管理、使用を統合的に行うマネージドサービスです。複雑な暗号化処理をAWSが代行してくれるため、アプリケーション開発者は暗号化の詳細を気にすることなく、安全なデータ保護を実現できます。
この記事では、AWS KMSの基本概念から実際の使い方まで、初心者の方にも理解しやすいよう、図解と実例を交えて解説します。
AWS KMS とは
なぜ暗号化キー管理が重要なのか
データの暗号化そのものは、暗号化ライブラリを使えば比較的簡単に実装できます。しかし、暗号化キーの管理は非常に複雑で重要な課題です。
キー管理で考慮すべき要素は、キーの生成から保存、アクセス制御、ローテーション、監査に至るまで幅幅いです。
| 要素 | 課題 | AWS KMSでの解決方法 |
|---|---|---|
| キーの生成 | 暗号学的に安全な乱数生成が必要 | HSM(Hardware Security Module)で安全に生成 |
| キーの保存 | 平文でのキー保存は危険 | 暗号化されて安全に保存 |
| アクセス制御 | 誰がどのキーを使えるかの管理 | IAMとキーポリシーで詳細制御 |
| ローテーション | 定期的なキー更新 | 自動ローテーション機能 |
| 監査 | キーの使用履歴の記録 | CloudTrailで全操作を記録 |
AWS KMS の基本的な仕組み
AWS KMSは、マネージド型の暗号化キー管理サービスとして、これらの複雑な処理を代行してくれます。
キーの種類と特徴
AWS KMSでは、管理方法の違いによって3種類のキーが提供されています。
AWS管理キー(AWS Managed Keys)
AWS管理キーは、AWSサービスが自動的に作成・管理するキーです。
AWS管理キーは、S3やRDS、EBSなどのAWSサービスで暗号化を有効にすると自動的に作成されます。キーの名前は「aws/service-name」形式で表示され、利用料金は無料で、年1回の自動ローテーションが行われます。
AWSコンソールでの確認は、KMSコンソールの左メニューから「AWS managed keys」を選択することで、使用中のサービス毎にキーが表示されます。
カスタマー管理キー(Customer Managed Keys)
カスタマー管理キーは、ユーザーが完全に制御できるキーです。
カスタマー管理キーは、詳細なアクセス制御が必要な場合や、複数のサービスで同じキーを使いたい場合、カスタムローテーション設定が必要な場合に適しています。利用料金は月額$1にAPI呼び出し料金が加算されます。
主な設定項目は、キーの説明とタグ、キーローテーションの有効/無効、キーポリシー(誰が使用できるか)、キーの削除予定(7日から30日の範囲で設定)です。
AWS所有キー(AWS Owned Keys)
AWS所有キーは、AWSが管理・所有するキーで、複数の顧客で共有されます。
AWS所有キーはユーザーには表示されず、利用料金は無料で、DynamoDBの一部機能やS3の特定の暗号化で使用されます。
エンベロープ暗号化の仕組み
AWS KMSの核心技術であるエンベロープ暗号化について、分かりやすく解説します。
エンベロープ暗号化とは
エンベロープ暗号化は、「キーをキーで暗号化する」階層的な暗号化方式です。封筒(エンベロープ)の中に手紙を入れ、その封筒をさらに大きな封筒に入れるイメージです。
なぜエンベロープ暗号化を使うのか
直接マスターキーでデータを暗号化しない理由は、パフォーマンスとセキュリティの両面から説明できます:
| 項目 | 直接暗号化 | エンベロープ暗号化 |
|---|---|---|
| 大容量データ | KMSで処理、遅い | ローカルで処理、高速 |
| ネットワーク負荷 | データ全体を送信 | キーのみ送信(軽量) |
| キー露出リスク | マスターキーを頻繁使用 | データキーのみ露出 |
実際の処理の流れ
暗号化の基本的な流れでは、アプリケーションがまずKMSにデータキーの生成を依頼します。KMSは新しいデータキーを生成し、平文版と暗号化版の両方を返却します。アプリケーションは平文のデータキーでデータを暗号化し、暗号化データと暗号化されたデータキーを保存します。最後にセキュリティのため、メモリから平文のデータキーを削除します。
復号化の時は、アプリケーションが暗号化されたデータキーをKMSに送信します。KMSはマスターキーでデータキーを復号化して返却し、アプリケーションはそのデータキーでデータを復号化します。最後にメモリからデータキーを削除してセキュリティを保持します。
アクセス制御の基本
キーポリシーとIAMポリシー
AWS KMSでは、キーへのアクセス制御を二段階で管理します。
キーポリシーは、キーに直接紐づくアクセス制御で、そのキーを誰が使えるかを定義します。キー作成時に必ず設定が必要な重要な要素です。
IAMポリシーは、ユーザーやロールに紐づくアクセス制御で、より細かい条件での制御が可能です。
職能分離の実装
セキュリティのベストプラクティスとして、キー管理者とキー使用者の権限を分離します。
| 役割 | 主な権限 | 付与すべきでない権限 |
|---|---|---|
| キー管理者 | キーの作成・削除・ポリシー変更 | データの暗号化・復号化 |
| キー使用者 | データの暗号化・復号化 | キーの管理操作 |
| 監査者 | キー情報の参照・ログの確認 | キーの変更・使用 |
主要AWSサービスとの連携
Amazon S3での暗号化
S3では、3つの暗号化方式でKMSが活用されています。
バケットレベルでのデフォルト暗号化は、S3コンソールでバケットのプロパティタブから設定できます。デフォルト暗号化セクションで暗号化方式としてSSE-KMSを選択し、AWS管理キーまたはカスタマー管理キーを指定します。
Bucket Keyによるコスト最適化 S3 Bucket Keyを有効にすると、KMS API呼び出し回数を大幅に削減できます:
| 設定 | KMS呼び出し頻度 | コスト削減効果 |
|---|---|---|
| 通常 | オブジェクト毎 | 基準 |
| Bucket Key | バケット単位で定期的 | 最大99%削減 |
Amazon RDSでの暗号化
RDSでは、データベース作成時に暗号化を設定できます。
RDSでは、データベースファイル、バックアップ、ログファイル、一時ファイル、スナップショットなど、データベースに関連するすべてのファイルが暗号化されます。
RDS暗号化で注意すべき点は、既存の非暗号化データベースは後から暗号化できないことです。また、暗号化が有効な場合、復号化したスナップショットから非暗号化DBを作成することもできません。
Amazon EBSでの暗号化
EBS暗号化は、EC2インスタンスとストレージ間のデータを透過的に暗号化します。
デフォルト暗号化は、EC2コンソールの左メニューからEBS暗号化を選択し、デフォルト暗号化を有効にして使用するKMSキーを選択することで設定できます。
監視と監査
CloudTrailログでの監視
KMSの全API呼び出しはCloudTrailで記録されるため、キーの使用状況が詳細に監視されます。
KMSの監視では、異常な頻度でのキー使用、新しいIPアドレスからのアクセス、失敗したアクセス試行、キーポリシーの変更、新しいキーの作成・削除などのポイントを積極的にチェックすることが重要です。
CloudWatchアラームでは、1時間あたりの復号化リクエスト数がしきい値を超過した場合や、特定の地域外からのキーアクセス、キー管理操作の実行などに対してアラートを設定することが可能です。
セキュリティのベストプラクティス
キー管理の基本原則
最小権限の原則では、必要最小限の権限のみを付与し、定期的な権限の見直しを行います。一時的な権限が必要な場合は、Grantメカニズムを活用すると効果的です。
キーローテーションについては、年1回の自動ローテーションを推奨します。セキュリティインシデントが発生した場合は手動ローテーションを実行し、ローテーション履歴の保持も重要です。
キーの論理分離では、環境別(本番、ステージング、開発)、データ分類別(機密、内部、パブリック)、アプリケーション別にキーを適切に分離して管理することが重要です。
コスト最適化の考え方
KMS料金体系の理解
| 項目 | 料金 | 備考 |
|---|---|---|
| カスタマー管理キー | $1/月/キー | 使用の有無に関わらず |
| AWS管理キー | 無料 | - |
| API呼び出し | $0.03/10,000回 | 月20,000回まで無料 |
効果的なコスト削減方法
キーの統合 関連するアプリケーションやデータで同じキーを共有することで、キー数が削減されます。暗号化コンテキストを活用すれば、同一キーでも用途を区別できます。
S3 Bucket Keyの活用 大量のS3オブジェクトを暗号化する場合、Bucket Keyを有効にするだけで大幅なコスト削減が実現されます。
AWS管理キーの活用 特別な要件がない限り、AWS管理キーでも十分なセキュリティが確保されます。
よくある利用シーン
Webアプリケーションでの活用
データベース暗号化では、ECサイトの顧客情報や決済データを保護するため、RDSインスタンス全体を暗号化できます。暗号化により、ストレージレベルでのデータ保護が実現され、万が一の不正アクセスからも情報が守られます。
ログファイル保護では、アプリケーションログに記録されるユーザーのアクセス情報や操作履歴を守れます。S3に保存するログファイルをKMSで暗号化することで、ログ解析のためのデータ蓄積と機密性確保を両立できます。
設定ファイルの機密情報保護では、APIキーやデータベース接続文字列などの重要な設定情報を、Systems Manager Parameter StoreとKMSを組み合わせて保護できます。アプリケーションからは必要な時だけ復号化してアクセスし、設定値の一元管理が実現されます。
開発・運用での活用
CI/CDパイプラインでのシークレット管理では、CodePipelineやCodeBuildにおいて、デプロイメントに必要な認証情報や環境変数をKMSで暗号化して管理できます。ビルドプロセスで自動的に復号化されるため、開発者が直接機密情報を扱う必要がありません。
バックアップデータの暗号化では、EBSスナップショットやRDSバックアップが元のリソースの暗号化設定を継承して自動的に保護されます。長期保存されるバックアップデータも、適切なキー管理により安全性が確保されます。
よくあるトラブルと解決方法
アクセス拒否エラーへの対応
KMSキーを使用する際に「Access Denied」エラーが発生する場合があります。
キーポリシーの設定に問題がある場合は、KMSコンソールでキーポリシーを確認し、必要なプリンシパル(ユーザーやロール)と適切なアクション(Encrypt、Decrypt、GenerateDataKey)が許可されているか確認しましょう。
IAMポリシーとの競合が原因の場合もあります。IAMユーザーまたはロールに適切なKMS権限が付与されているか、明示的なDeny文がアクセスを阻害していないか、条件文により意図せずアクセスが制限されていないかを確認する必要があります。
パフォーマンスが遅い場合の改善
大量のデータ暗号化でレスポンスが遅くなる場合は、S3 Bucket Keyの活用が効果的です。大量のS3オブジェクトを暗号化する際にBucket Keyを有効化すると、KMS API呼び出し回数が大幅に削減され、レスポンス時間が短縮されます。
また、アプリケーションレベルでデータキーを適切な期間キャッシュしたり、同一処理内での複数ファイル暗号化では同じデータキーを再利用することで、パフォーマンスの向上が期待できます。
料金が予想以上に増加する場合の対策
KMS利用料金が予想以上に高額になる場合は、まずAPI呼び出し回数を確認しましょう。CloudTrailログでKMS API使用状況を確認し、不要なAPI呼び出しがないかを定期的にチェックすることが重要です。また、アプリケーションのリトライ処理が過度にAPIを呼んでいないかも確認が必要です。
キー数の最適化も効果的な対策です。用途が類似するアプリケーションでは同一キーの共有を検討し、暗号化コンテキストで用途を区別してキー数を削減することで、コストを抑制できます。
まとめ
AWS KMSは、複雑な暗号化キー管理をシンプルに実現できる強力なマネージドサービスです。エンベロープ暗号化により、パフォーマンスとセキュリティを両立し、各AWSサービスとの統合により、包括的なデータ保護戦略を構築できます。
初心者の方は、まずAWS管理キーを使ってS3やRDSでの暗号化を試し、要件が複雑になってきたらカスタマー管理キーや高度なアクセス制御機能を検討することをお勧めします。実際の運用では、よくあるトラブルへの対処方法を理解し、継続的な監視と適切な権限管理により、セキュアで運用しやすい暗号化基盤を実現できるでしょう。