どの業界でも、今ではクラウドへの移行が盛んになっています。 2021年にEntrustブランドとなった旧HyTrustのクラウドセキュリティ製品である CloudControl、DataControl、およびKeyControlは、 そのような企業／組織が知っていて損が無い製品です。でも、なぜ必要なのかはまだ把握されていない方も多いはず。 このウェビナ―では、なぜEntrustのクラウドセキュリティが必要なのか、徹底解説します。 クラウドセキュリティの三種の神器である 「暗号化＆鍵管理」、「特権管理」、「二段階認証」を網羅する 旧HyTrust製品ラインナップをすべてご紹介します。 ＜二段階認証／特権管理：CloudControl＞ ・ワークロードのセキュリティポリシーの施行とコンプライアンスの自動化 ・Bank of America, Citi Bank等で使用されています。 ＜暗号化＆鍵管理：KeyControl/DataControl＞ ・マルチクラウド環境でのワークロードの暗号化と鍵管理 ・米国某ヘルスケアシステム協会や国内某公共機関や金融機関等で使用されています。

1. 2022/3/16
15:00~
オンライン

2. ENTRUST CloudControl 製品紹介
講師：エントラストジャパン株式会社 DPS事業本部
ENTRUST KeyControl / DataControl製品紹介
講師：株式会社クライム
今やコンプライアンスは必須！
“簡・安・早”なクラウド・仮想環境でのセキュリティ

3. セミナー終了後、アンケートが表示されます
ご質問、要望については、アンケートにご記入ください。

4. 株式会社クライム
• お問い合わせ
東京：03-3660-9336
大阪：06-6147-8201
https://www.climb.co.jp/soft/contact/contact.php
• 主な事業内容
ソフトウェアの販売とサポート
データ保護、活用に強み

5. セキュリティにおける三種の神器
• 「特権管理」
• 「二段階認証」
• 「暗号化＆鍵管理」
BYOK
Key
Management
System
Zero
Downtime
Encryption
Access Controls
REST Based
API’s
High
Availability
Workload

6. どうして暗号化が必要？
• 暗号化＝第三者が見ても意味のわからないようにする
• 暗号化しておらず、セキュリティ事故(不正アクセスなど)が
発生した場合、外部にデータが流出する
⇒企業の信頼を損なう、損害賠償、訴訟
イメージダウンetc...
不正アクセス
盗難 etc...
業務
1 ・・・
2 ・・・
3 ・・・
読めた！

7. 2021年のセキュリティ事故状況
• 上場企業だけで137件のデータ流出事故
• 漏えいした個人情報は約574万件
いずれも過去最多
• ウィルス感染・不正アクセス
が半数近く占めている 50%
31%
12%
7%
ウイルス感染・不正アクセス
誤送信
紛失・誤廃棄
その他

8. ウィルス感染・不正アクセス以外にも…
• 某県庁で利用していたHDDが転売され、データ流出
→古いHDDの処分を請負会社へ委託したが、不正に転売された
某県庁 リース会社 処分業者
ECサイト
で転売
ウィルス感染・不正アクセスだけでなく、
人的ミス、要因でもデータ流出のリスク有

9. • 増加傾向
• ハイブリッドクラウド
ケースももちろんあり
データの置き場もクラウドへ

10. 重要データは“流出前提”で対策を考える
• 攻撃者の手口はどんどん巧妙になる
⇒データが盗まれても、読めないように暗号化
jsdhbGF^
&%^*&B
GJHF&%v
dfg$$!#
よ、読めない
不正アクセス
盗難 etc...
なセキュリティソフトとは？
• 暗号化解除のための暗号鍵を
セキュアに管理することが重要

11. 暗号化＆鍵管理なら

12. 2つのコンポーネント
・KeyControl (鍵管理アプライアンス)
・DataControlエージェント (暗号化ソフト)

13. KeyControlとは？
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
VM vCSA
Webベースで管理
鍵管理
vSphere ESXi
(vSphere Encryption、vTPM)
クラウド、仮想問わず
エージェントで暗号化
鍵管理

14. KeyControlとは？：概要
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• VMware社認定のKMS (Key Management Server)

15. KeyControlとは？：操作
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• コマンド操作不要で、Webコンソールから簡単操作

16. KeyControlとは？：構成
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• OVFテンプレートから簡単デプロイ、構成時間15分 (ISOもあり)
必要リソース：
2CPU
8GB RAM
60GB Disk

17. KeyControlとは？：構成
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• KeyControl組み込み機能で、複数KeyControlでクラスタ構成
KeyControl KeyControl
常に設定、鍵情報を同期

18. KeyControlとは？：セキュリティ
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• 綿密な操作ログ収集、問題があればアラート出力
• メール / Syslog Server / SNMPで通知可能

19. KeyControlとは？：セキュリティ
暗号鍵管理に特化した
仮想アプライアンス・セキュリティソリューション
• 堅牢化されたアプライアンスOSを提供(File System暗号化、SSH無効)
決められた操作のみ受け付け
・ログ取得
・クラスタ参加
・シャットダウン、再起動

20. Confidential and Proprietary
VMware暗号化
vSAN暗号化
vTPM
VMware認定KMS

21. ESX Host
VM 暗号化モジュール
VM
Datastore
VMDK
- KEK id
DEK
コンテンツ
vSphereネイティブ暗号化のアーキテクチャ
Confidential and Proprietary
KeyControl
KMIP
Object Store
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
1. 管理者が暗号化ポリシーを作成し、VMへ適用
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCneterのDEKは、HyTrust KeyControlのKEKによって暗号化

22. VMware vSAN暗号化のアーキテクチャ
Confidential and Proprietary
コンテンツ
KeyControl
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
vSAN Datastore
DEK DEK DEK
KMIP
Object Store
1. 管理者がvSAN暗号化を有効にする
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCenterのDEKは、HyTrust KeyControlのKEKによって暗号化
4. vSAN再起動時に、ESXiホストがHyTrust KeyControlへKEKリク
エスト

23. ESX Host
VM
vTPM連携時のアーキテクチャ
KeyControl
KMIP
Object Store
vCenter
VMware Certificate
Authority
Or 3rd Party CA
KMS List
HyTrust
BLUE = HyTrust Components GREEN = VMware/Customer Components
1. vCenterはHyTrust KeyControlから鍵を要求
2. vTPMデバイスが追加されると、VMCAからエンドースメント・キー・
サーティフィケートが発行
3. VMware Certificate Authority（VMCA）のキーペアは、サードパーティのCA
（Certificate Authority）で置き換えることができます。
4. ゲストOSがvTPMに書き込んだデータはすべて.nvramファイルに保存され
ます。
5. vTPMはvMotionに影響しません。
VM Home Files
.nvram file
Parts of VMX file
Sw ap
.vmss
.vmsn
namespacedb
DeployPackage
vTPM
Endorsement Key
Certificate
Windows 11

24. VMware以外の鍵管理も可能

25. KeyControlこんなユーザにおすすめ
• 様々な環境の暗号鍵を管理したい
• HWを追加購入することなく暗号鍵を管理したい (仮想アプライ
アンスで動作)
• Windows 11を仮想環境で使いたい

26. 2つのコンポーネント
・KeyControl (鍵管理アプライアンス)
・DataControlエージェント (暗号化ソフト)

27. Entrust (旧HyTrust)製品概要
VM
vSphere ESXi
(vSphere Encryption、vTPM)
vCSA
vSANデータストア
クラウド、仮想問わず
エージェントで暗号化
Webベースで管理
鍵管理
鍵管理

28. HyTrust DataControlによる暗号化
・ポリシーエージェントによる暗号化 (AES-256)
・OS再起動不要
・KeyControlサーバがキー管理を実施
暗号化単位
・各ドライブ
・ブートファイル
・ルート
・データパーティション
・ファイル、オブジェクト

29. 一目でわかる暗号化状況

30. ポリシーベースでの暗号化設定管理
• あらかじめ管理サーバ側でVMセット(ポリシー)を作成
→毎回パラメータ指定することなく、簡単に暗号化設定
ポリシーA ポリシーB ポリシーC
ポリシー
エージェント
VM
適用
• 自動暗号化有無、暗号化範囲、アクセス制御、再起動検知、
HW構成変更検知、IP変更検知、疎通インターバル、etc…

31. ワークロードの自動保護
• VMセットに登録されたマシンのドライブ、フォルダを自動暗号化
※暗号化処理はオンラインで実施、再起動不要
• 暗号化オプションとして、暗号化範囲をVMセットごとに指定可能
例) 全ボリューム対象、E:のみ、D:data、dev/sdb1は除くなど
• エージェントインストール、KeyControlへの接続のみで自動処理

32. そのほかポリシーによる制御項目
• エージェント側から暗号化解除やアンインストール許可も制御
• マシンの構成変更や再起動を検知し、
暗号化ディスクやフォルダを閲覧不可に
マシンおよびVMセット単位で
細かく条件設定可能

33. アクセス制御機能も提供
• DataControlで暗号化されたディスク、ファイルへのアクセスを制御
⇒ローカル/ドメインユーザで指定
①
② ③
① ：制御対象フォルダ、ファイル (ディスク全体も指定可能)
② ：制御対象ユーザ名
③ ：アクセス許可、不可指定

34. DataControl こんなユーザにおすすめ
• 仮想、クラウド環境を問わず、データを暗号化したい
• VM全体、ディスク単位、フォルダ単位、ファイル単位など暗号
化の粒度を選択したい
• 部署単位、特定のグループ単位で暗号化セキュリティポリシー
を統一したい
• クラウドでも、クラウドネイティブの暗号化に頼らず、
独自の暗号化を実施した

35. Entrust (旧HyTrust)製品概要
VM
vSphere ESXi
(vSphere Encryption、vTPM)
vCSA
vSANデータストア
クラウド、仮想問わず
エージェントで暗号化
Webベースで管理
鍵管理
鍵管理
ESXi・vCSAへの操作は
公開IP(CloudControl)へアクセス
公開IP
許可された操作を実行
2段階認証
コンプライアンス監視

36. 評価版、日本語ドキュメントをご用意しています
30日間無料評価版(機能制限なし)
https://www.climb.co.jp/soft/hytrust/download/
日本語ドキュメント
https://www.climb.co.jp/soft/hytrust/document/
詳細情報・お見積り・打ち合わせ希望
https://www.climb.co.jp/soft/hytrust/contact/
東京本社 Tel : 03-3660-9336
大阪営業所 Tel : 06-6147-8201

37. アンケート
ご協力のお願い

38. セミナー終了後、アンケートが表示されます

39. 抽選で限定ノベルティをプレゼント！