暗号化¶
[更新日:2023年12月5日]
概要¶
さくらのクラウドのIaaSでは、お客様による管理責任範囲となるOS以上の階層内での暗号化機能は標準では提供せず、お客様の責任により暗号化実装の可否や範囲、暗号化強度などを個別の要件に従って設計・導入いただく必要があります。例えば、オンライン決済情報や個人情報を取り扱うなど高度な保護が必要となる用途でご利用の場合は、盗聴やなりすましなどの攻撃に備えOSやアプリケーションの機能を利用した暗号化などによる安全性の向上が必要となる場合があります。ここでは暗号化によりそれらの対策をする際のヒントとなる情報を掲示します。
また、コントロールパネルやAPIなど、さくらのクラウドの基盤として弊社が提供する部分や、IaaS以外の機能の暗号化についての情報も記載します。
警告
サーバやディスクなど、 お客様の管理責任範囲内 でこれらの機能を使用した結果についてはサポートの対象外となります。詳細については開発元の各ベンダーへお問い合わせください。
ストレージ¶
多くのLinux系ディストリビューションで利用可能な「LUKS」でディスク全体を暗号化することができます。ストレージの物理的な盗難やディスクイメージファイルの詐取、不具合などによるデータ漏洩などが発生した場合でも、そのままではパスワードなど復号するための鍵を持たない第三者はディスクの内容を読み出すことができません。
LUKSの詳細については cryptsetup を参照ください。
ネットワーク¶
遠隔地よりサーバを管理する場合は標準的にSSHが使用されます。リモート端末で動作するクライアントアプリケーションから接続先ホストのSSHデーモンまでの通信経路が暗号化されるため、通信回線を通過するパケットからはどのようなコマンドがやり取りされているのかを盗聴することができません。またSCP機能を使用することで、バイナリデータなど大きなファイルの転送にも暗号化された安全な経路で使用することが可能です。
自組織のローカルネットワークとクラウド上のローカルネットワークなど、遠隔地にあるネットワーク同士を仮想的なプライベート回線で接続するVPNは、PPTPやIPsecなど標準的に使用されるプロトコルについては全て暗号化機能が自動的に有効となり、安全な経路を使用した通信が行われます。ただし、暗号化方式や鍵の長さなどにより暗号強度が異なるため、可能な限り強固な暗号化方式を選択すると安全です。
サーバ¶
不特定多数への情報提供を目的とした公開サーバにおいても、WebサーバであればSSLを使用してクライアントとなるブラウザ間の通信を暗号化する、機密性の高いファイルやメモリ退避領域のスワップファイルの暗号化でサーバ内への不正侵入や仮想化基盤の未知の脆弱性を悪用した場合でも情報漏洩の可能性を軽減するなど、暗号化技術を利用した安全性向上の方法があります。
注釈
SSL証明書発行については弊社 さくらのSSL サービスにて取り扱いを行っています。
コントロールパネル・API¶
クラウド上に作成されたお客様リソースを操作するためのコントロールパネルやAPIについてはSSL/TLSによる暗号化を行い、通信内容の盗聴や改ざんを防止しています。
ウェブアクセラレータ¶
HTTPSによる暗号化通信に対応しています。詳細な仕様については ウェブアクセラレータ のページを参照ください。
オブジェクトストレージ¶
HTTPSによる暗号化通信に対応しています。詳細な仕様については オブジェクトストレージ のページを参照ください。