IDrive® e2 は業界最高水準のセキュリティモデルと設計手法を採用
- HTTPS による安全なデータのアップロード/ダウンロードに対応
- バケットはバケットおよびオブジェクト作成者のみがアクセス可能
- ユーザー認証によるデータアクセス制御に対応
- アクセスキーとポリシーでユーザーやグループごとに権限を付与可能
- ウェブコンソール経由のアクセスに二要素認証を導入
次のセクションで、IDrive® e2 の保存時暗号化(DARE: Data At Rest Encryption)について詳しく解説します。
IDrive® e2 では、暗号化が有効なバケットにおいて、オブジェクトデータはディスクに書き込まれる前に暗号化されます。
暗号化は、以下2つの方法で提供される AES 256ビットキーを使用して行われます。
-
クライアントアプリが S3 PUT Object Data REST リクエストで暗号化キーを指定した場合(SSE-C方式)、そのキーを使ってオブジェクトデータをディスクに書き込む前に暗号化します。PUT Object 操作完了後、キーは破棄されます。データにアクセスするには、クライアントアプリが同じ暗号化キーを S3 GET Object REST リクエストで指定する必要があります。このモードでは、IDrive® e2 は暗号化キーを保持・保存しません。
-
クライアントアプリが暗号化キーを指定しない場合(SSE-C方式を利用しない場合)、SSE-S3方式となり、IDrive® e2 で暗号学的な乱数生成ルーチンによりランダムな AES 256ビットキーが生成されます。システムに保存される各オブジェクトごとに異なる暗号化キーが生成されます。この AES 256ビットキーは、IDrive® e2 のメタデータセキュアレイヤーに(オブジェクトを削除するまで)保存され、GETリクエスト時に復号のため再利用されるため、元の形式でデータを取得できます。