お客様が管理する暗号キー

セキュリティを重視する方のための安心。

お客様が管理する暗号キー (CMEK) について

  • Smartsheet ではお客様のデータを保護することと、お客様がデータ管理を維持できるようにすることを目的に、暗号化を採用しています。
  • また、Smartsheet では CMEK を使用して、Amazon Web Services Key Management System (KMS) 内に保存されている暗号キーでシート データを暗号化することも可能です。
  • この暗号キーは AWS 内でお客様が所有および管理するため、お客様はデータへのアクセスを制御できます。
Customer-Managed Encryption-Keys

CMEK のリリース目的

CMEK は、独自の暗号キーを管理する必要がある機密データまたは規制対象データを有する組織を対象としています。CMEK を使用すると、エンタープライズ組織はオンプレミスのインストールと同等のデータ コントロールを維持しながら、クラウド SaaS アプリケーションを使用できます。CMEK は、お客様が管理する暗号化レイヤーを Smartsheet のデータ ストレージに追加し、高度なデータ セキュリティとガバナンス ポリシーをサポートします。

Smartsheet では、CMEK を使用して組織のデータを暗号化することで、常に組織が管理できるようにしています。具体的には、Smartsheet はこれらの暗号化キーを保存または管理せず、Smartsheet がシート データにアクセスする必要があるたびに、Smartsheet はお客様の AWS Key Management Service (KMS) にこのようなキーをリクエストして取得する必要があります。

AWS Key Management System (KMS) に保存されている CMEK を管理している組織は、Smartsheet からの CMEK へのアクセス (つまり、組織のデータへのアクセス) をいつでも取り消すことができます。AWS Key Management System (KMS) のマスター キーを破棄することで、組織は Smartsheet システムからデータを効果的に削除できます。それでも、Smartsheet のデータベース、ソース コード、クラウド暗号化キーのコピーを持つ悪意のある当事者が CMEK で暗号化されたデータを読み取ることはできません。

CMEK で解決できること

  • 問題点: 規制の厳しい業界では、独自の暗号キーがコンプライアンス要件の一部として不可欠なため、機密データを含むプロジェクトに Smartsheet を使用する際に問題が発生していました。
  • ソリューション: 現在、最も高いセキュリティ要件を持つ組織でも、機密データに Smartsheet を使用できるようになりました。CMEK は、組織のセキュリティ コンプライアンス要件を満たし、お客様が独自のキーの管理を完全に制御できるようにします。

CMEK の仕組み

CMEK を導入していないお客様と、CMEK をアクティブ化したお客様のエンド ユーザー エクスペリエンスに違いはありません。CMEK の暗号化と設定は、バックエンドのデータベース層で行われます。お客様は AWS KMS アカウントを設定し、Smartsheet にキーへのアクセスを許可する特定のポリシーで暗号化キーを作成し、Smartsheet にキーの ARN を提供します。Smartsheet はキーを使用してお客様のデータを暗号化し、データを暗号化/暗号化解除するためにキーに継続的にアクセスできるよう監視します。データの暗号化と暗号化はバックエンドのデータベース層で行われるためです。

アクティブ化プロセスの内容

  1. Platinum Advance SKU のお客様が CMEK のアクティブ化を希望する場合、Smartsheet チームが CMEK の顧客オンボーディング シートに新しいエントリを追加します。
  2. Smartsheet の顧客オンボーディング チームは、ARN および AWS の管理者の連絡先情報取得に関するリクエストをお客様に送信し、この情報で CMEK の顧客オンボーディング シートを更新します。
    • Smartsheet はお客様に AWS Cloud Formation Script を提供し、お客様が AWS アカウント ID を使用して実行する必要があることを示します。Cloud Formation Script が実行されると、AWS KMS ARN が生成されます。
    • Smartsheet は、AWS KMS ARN と AWS 管理者の連絡先情報の更新リクエストをお客様に送信します。
    • Smartsheet は、上記の情報で CMEK の顧客オンボーディング シートを更新します。
  3. Smartsheet の顧客オンボーディング チームは、CMEK の新規のお客様を有効化する必要があることを社内で伝達します。
  4. Smartsheet のグリッド ストレージ チームが新しいデータベース インスタンスを作成し、エンジニアリング データベース管理者が CMEK の顧客オンボーディング シートを更新して、新しいインスタンスの設定が完了したことを示します (表示例: CMEK-Created = TRUE)。
  5. CMEK-Created が TRUE に設定されると、Smartsheet の自動化機能を通じて実行の準備ができていることがチームに通知されます。
  6. チームに通知されると、フルフィルメント チームが社内のアクティブ化システムに機能フラグを設定します。
  7. フルフィルメント チームは、CMEK を含む注文がアクティブ化されると、登録されているお客様の連絡先にフルフィルメント メールを送信し、CMEK がアクティブ化されたことを通知します。

CMEK について知っておくべきこと

  1. CMEK のユーザーが暗号キーを管理するには、AWS KMS へのアクセスと関連するガバナンス ポリシーの設定が必要です。
  2. CMEK のユーザーは、Amazon Resource Name (ARN) を使用して、Smartsheet に暗号キーへのアクセス権限を付与する必要があります。
  3. 暗号キーに Smartsheet がアクセスするための固有のポリシーを付与する設定が必要です。
  4. Smartsheet は Cloud Formation Script を提供しています。これにより、キーの設定が容易になります。
  5. CMEK のアクティブ化は、お客様側と Smartsheet 側の両方のタイムラインにより、2 ~ 4 週間かかる場合があります。
  6. シートのデータのみが CMEK で暗号化され、添付ファイル/リンク、レポート、ダッシュボード、WorkApps などの他のデータは Smartsheet の現在の暗号化が使用されます。
  7. Smartsheet を使用している場合は、お客様が所有している既存のデータは、順次 CMEK の暗号化に移行します。
  8. CMEK は、Platinum Advance 階層で提供されています。