KeySafe KMSを購入して使用する際には、以下に記載されているKeySafe KMSの技術要件 (以下、「KMS技術要件」) が適用され、お客様は、Enterpriseキー管理機能を適切かつ確実に導入して保守するために継続的に満たす必要がある要件が存在することを理解し、同意したものとみなされます。 下記の要件が満たされていない場合は、KeySafe KMSに障害が発生する可能性があります。Boxは、お客様のこうした過失についていかなる責任も負わないものとします。
Boxは、このページに更新版を掲示することで以下のKMS技術要件をいつでも改定できるものとします。更新は掲示された時点で効力を有するものとします。
一般要件
お客様は妥当な措置を講じてお客様所有のキー暗号化キー (以下、「C-KEK」) を適切に保護しなければなりません。
顧客情報
Boxサービスのお客様のインスタンスでKeySafe KMSを有効にするには、KeySafe KMSのセットアップとサポートを的確に行えるように、以下のような情報 (ただしこれらに限定されない) を提供する必要があります。
- 暗号化キーID
- アクセスキー
- シークレットアクセスキー
サードパーティプロバイダの要件
- お客様はBoxコンサルティングチーム (Box Consulting) と協議して、C-KEKの高可用性および耐久性を確保するためにBox KeySafe公認のホスティングパートナーと契約を結ばなければなりません。 誤解を避けるために明記しておきますが、KeySafe KMSをホスティングできるのは、Box KeySafe KMS公認のホスティングパートナーのみです。
- お客様は、Box公認のKeySafe KMSホスティングパートナーが提供する一意のKeySafe KMS専用アカウントを保有していなければなりません。 明確化のために記すと、このようなアカウントをKeySafe KMS以外の用途に使用することは禁止されています。
- お客様は、Boxが実行する暗号化および復号化操作のみを目的とした専用の暗号化キーをKeySafe KMSで保持しなければなりません。 明確化のために記すと、他のアプリケーションやサービスの暗号化および復号化操作のためにKeySafe KMS暗号化キーを流用することは禁止されています。
- お客様は、Box公認のKeySafe KMSホスティングパートナーによるサポート契約を購入して維持する責任を負います。
KeySafe KMSホスティングパートナー
お客様は、以下のBox公認のKeySafe KMSホスティングパートナーを利用できます。
- Amazon Web Services (AWS)
- Google Cloud Platform (GCP)
Amazon Web ServicesでのKeySafe KMSの要件
- AWSをKeySafe KMSホスティングパートナーとして利用している間は、こちら(https://aws.amazon.com/premiumsupport/) で紹介されているエンタープライズサポートまたはビジネスサポートのいずれかをいつでもAWSから購入できます。
- AWS KMSカスタムキーストアサービスの一環として、C-KEKの保存にAWS CloudHSMを使用する場合は、AWS CloudHSMのインスタンスを少なくとも3つ購入して、異なる可用性ゾーンに配置する必要があります。 新しいユーザーアカウントを追加する際には、Boxと密接に連携して使用状況を監視し、C-KEKの高可用性および耐久性を確保するためにAWS CloudHSMのインスタンスを追加する必要があるかどうかを判断することを推奨します。 また、(a) ユーザーアカウント数が100,000を超えることが予想される場合や、(b) 重大なデータの移行が予想される場合や、(c) KeySafeの利用方法における重大な変更が予想される場合、お客様は必ずBoxコンサルティング (Box Consulting) と相談して、必要なAWS CloudHSMインスタンスの最低数を判断するものとします。
- お客様は、次のいずれかでKeySafe KMSのプロビジョニングを行う必要があります。
- AWS us-west-1リージョン
- AWS us-west-GovCloud
Google Cloud PlatformでのKeySafe KMSの要件
- お客様は、次のいずれかでKeySafe KMSのプロビジョニングを行う必要があります。
- シングルリージョン: us-west1、us-west2、us-west3、us-west4
- マルチリージョン: nam8 (ロサンゼルス、オレゴン、ソルトレイクシティ)
データセンターの要件
- Boxが米国内でBoxデータセンターを移転した場合、お客様はKeySafe KMSの機能とパフォーマンスを維持できるように、Boxからの書面による通知後60日以内に、移転先のBoxデータセンターの近傍にあるホスティング拠点にKeySafe KMSを移動しなければなりません。
- お客様はKeySafeサービスプロバイダのホスティング拠点間で移行を行う前に、Boxコンサルティング (Box Consulting) と協議するものとします。 このような移行を行う際には必ずBoxコンサルティング (Box Consulting) のサポートを受けなければならず、Boxからプロフェッショナルサービスおよびトレーニングサービスを別途購入する必要があります。
ログ集約ツール
KeySafe KMSを購入して使用するには、お客様自身でログ集約ツール (以下、「集約ツール」) を所有、管理し、この集約ツールを使用してKeySafe KMSのログを収集することを推奨します。
Boxの機能
お客様は、KeySafe KMSを実装した結果としてBoxサービスの特定の機能が制限される可能性があることを理解し、同意したものとみなされます。
- 現行版KMS技術要件の作成時点において、Boxサービスの機能には以下の制限があります。
- ファイルのファイルコンテンツ検索を無効にする必要がある
- Box Search APIのみを使用するサードパーティeDiscovery統合
- KeySafe KMSのC-KEKでコメント、説明、メタデータが暗号化されない
- Boxサービスからの移行:
- KeySafe KMSを使用するお客様の組織では、1秒あたり約100ファイルの速度で、ファイルを非KeySafeバージョンに変換するための再キー処理が実行されることになります。 Boxはこの制限を考慮し、ファイルの再キー処理を可能な限り迅速に行えるよう、しかるべき努力を行います。
- お客様は、Box Notes以外のBoxサービスにアップロードされたファイルの内容がKeySafe KMSで暗号化されることを理解し、同意したものとみなされます。
tech_writers_swarm_kb