暗号化管理者は以下を実行できます。

  • キー マネージャー デバイスから直接暗号化キーを生成する
  • 外部の暗号管理アプリケーションで生成したキーをアップロードする
  • ラップされたキーをアップロードする

注記:

  • キーに関連する地理的な場所は [Data Center] 列に表示されます。
  • キーの生成かアップロードを行うと、特定の地理的な地域にキーが作成され、その地域のデータに対してのみ機能します。たとえば、暗号化するデータが EU 域内にある場合、そのデータの暗号化キーは EU 域内に作成されます。暗号化キーはデータが属する地域でのみ機能し、他の地域クラスターとは同期されません。

対称キーの生成

キーを生成する手順は以下のとおりです。

  1. アプリケーション メニューから [Administration] にアクセスします。
  2. [BYOK] → [Encryption Keys] を選択します。
  3. [Add Key] を選択します。
  4. [Generate New Key] を選択します。
  5. 後でキーを区別するために役立つキーのエイリアス (名前) を [Key Alias] フィールドに入力します。

注記:  キー エイリアスの要件は以下のとおりです。

  • 英数字を 40 文字まで使用できる
  • 先頭はアルファベットにする
  • スペースや特殊文字 (?:;|!@#$%^&*<=>+(){}~,\/[]'") は使用できない
  1. 必要に応じて [Reminder Date] を変更します。
  2. [Generate Key] を選択します。

対称キーのアップロード

外部で生成したキーを互換性のある形式でアップロードできます。キーは AES-256 対称キーである必要があります。

キーをアップロードする手順は以下のとおりです。

  1. アプリケーション メニューから [Administration] にアクセスします。
  2. [BYOK] → [Encryption Keys] を選択します。
  3. [Add Key] を選択します。
  4. [Import Existing Key] を選択します。
  5. アップロードするキーのエイリアスを [Key Alias] フィールドに入力します。
  6. 16 進数のキーを [Hex Key] フィールドに貼り付けます。
    [Data Center] フィールドは使用できません。
  7. 必要に応じて [Reminder Date] を変更します。
  8. [Import Key] を選択します。

ラップされたキーの使用

Anaplan では、非対称キーのカプセル化に使用するキーの生成とエクスポート、セキュリティを強化するためのキーのラップがサポートされています。

プロセスは以下のとおりです。

  1. 対称キーをラップするために後で使用する非対称キーを生成してエクスポートします。
    以下の「非対称キーの生成とエクスポート」セクションを参照してください。
  2. AES-256 対称キーをハードウェア セキュリティ モジュール (HSM) に生成します。
    このプロセスはお使いのデバイスに固有であるため、Anaplan 外でこのステップを実行してください。
  3. 非対称キーで対称キーをラップします。
    このプロセスはお使いのデバイスに固有であるため、Anaplan 外でこのステップを実行してください。
    以下の「非対称キーによる対称キーのラップ」セクションを参照してください。
  4. ラップしたキーを Anaplan にインポートします。
    以下の「ラップしたキーのインポート」セクションを参照してください。

非対称キーの生成とエクスポート

暗号化管理者は非対称キーの生成とエクスポートを実行できます。

非対称キーの作成とエクスポートを行う手順は以下のとおりです。

  1. アプリケーション メニューから [Administration] にアクセスします。
  2. [BYOK] → [Asymmetric Keys] を選択します。
  3. [Add Key] を選択します。
  4. キーに名前を付けて説明を入力します。
    キーの生成に使用するアルゴリズムは必ず RSA-2048 にしてください。
  5. [Generate Key] を選択します。
  6. エクスポートするキーを選択します。
  7. [Export] を選択します。
  8. [Save] を選択します。

非対称キーによる対称キーのラップ

このステップは Anaplan 外でお客様に実行していただきます。

注記:ハードウェア セキュリティ モジュールへの非対称キーのインポートで問題が発生した場合は、以下の「ラップしたキーに関する問題のトラブルシューティング」セクションでよくある問題への対処方法に関するヒントを確認してください。

非対称キーで対称キーをラップする手順は以下のとおりです。

  1. ハードウェア セキュリティ モジュール (HSM) を使用して AES-256 対称キーを生成します。
  2. HSM を使用して、Anaplan からエクスポートした非対称キーで対称キーをラップします。
    • ラップしたキーにはヘッダーを含めないでください。
    • RSA-OAEP パディング メカニズムを使用してキーをラップします。
    • ハッシュ パディング アルゴリズムを SHA256、SHA384、又は SHA512 に設定します。
    • マスク ジェネレーターを SHA256、SHA384、又は SHA512 に設定します。
  3. キーをラップしたら、キーが base64 でエンコードされていることを確認します。
  4. テキスト ファイルを作成し、以下の情報を入力します。
入力する情報説明
HashAlgo:SHA256、SHA384、又は SHA512

(省略可) HSM で使用するハッシュ パディング アルゴリズム

指定しなかった場合はデフォルトで SHA256 になります。

MaskGenHashAlgo:SHA256、SHA384、又は SHA512

(省略可) HSM で使用するマスク ジェネレーター

指定しなかった場合はデフォルトで SHA256 になります。

Secret:(base64 でエンコードした、ラップされたキー)ラップされたキー。ハッシュ パディング アルゴリズムかマスク ジェネレーターを指定しなかった場合、Secret: はページの先頭に配置する必要があります。
  1. 変更を保存します。以下の「ラップしたキーのインポート」セクションでこのファイルを Anaplan にアップロードします。
    例 (テキストは表示目的でのみ折り返されています):
    HashAlgo:SHA512
    MaskGenHashAlgo:SHA512
    Secret: tlPE23P3jlxPHniXYYTr32NP0XY761NYhknIbY0H1s2
    yTxDFmIDBJbLJgJzC7PUAh6vgXMw+/FJ1TpZ0chl6SsEenj0WAN
    c0qlf9XHI2205g96YZ2A2hBOTn0kGjdY9BLhbNPQZoLFq/LlVFZ
    WXQmjSio02oGfQFyFcwNpnmKGlHtZg3zASpaEaOc0Qba2hQBoUS
    6aJb5/02fqhzOkAjpVU+NRmaRkS8KY5ObutDtmftwuTvguBNCBq
    VF1HVHGKkJz70/mQO4dHoL4T97URyDs2xtGesrJM2GVGv6CENU5
    CdukimdZznrq6aIYumvKPMdr/8DBKDVTbQBzVfjBL7Hg==

注記:Anaplan ではラップされたペイロードの他のコンテンツが無視されます。

ラップしたキーのインポート

暗号化管理者はラップしたキーをインポートできます。

注記:ラップされたキーに復帰改行や改行のエントリを含めることはできません。ラップされたキーをインポートする前に、ラップされたキー ファイルに復帰改行や改行のエントリがないことをテキスト エディターで確認します。

ラップしたキーをインポートする手順は以下のとおりです。

  1. アプリケーション メニューから [Administration] にアクセスします。
  2. [BYOK] → [Encryption Keys] を選択します。
  3. [Add Key] を選択します。
  4. [Import Wrapped Key] を選択します。
  5. 対称キーをラップするために使用した非対称キーを [Asymmetric Key] ドロップダウンから選択します。
  6. 対称キーの名前を [Key Alias] フィールドに入力します。
  7. [Reminder Date] を設定します。
    デフォルトは 1 年です。
  8. ラップしたキーをアップロードします。
  9. [Import Key] を選択します。

ラップしたキーに関する問題のトラブルシューティング

デフォルトでは、BYOK でプレーンな非対称キーがエクスポートされます。一部の HSM では、Public Key Cryptography Standards (PCKS)#1 に対応する形式の非対称キーが必要です。インポートかキーが読み取り不可だというエラーが表示された場合は、エクスポート対象の非対称キーに PCKS#1 ヘッダーを挿入してみてください。

注記:この手順は Linux マシンと MacOS マシンで動作するように設計されています。この手順を実行するには、あらかじめ openssl をインストールしておく必要があります。

ラップしたキーに関する問題をトラブルシューティングする手順は以下のとおりです。

  1. 次のコマンドを含む bash スクリプトを作成します。
    #!/bin/bash
    # Convert exported asymmetric key to PKCS1 format
    # The command below changes the PUBLIC KEY label
    # to display as RSA PUBLIC KEY.
    sed -e "s/PUBLIC KEY/RSA PUBLIC KEY/g" $1 > $1.pkcs8.pem
    # The command below adds the header to the encrypted key.
    openssl rsa -RSAPublicKey_in -in $1.pkcs8.pem -pubout > $1.pkcs1.pem
  2. BYOK の非対称キーがあるのと同じディレクトリにこのスクリプトを保存します。
  3. スクリプトを実行可能にします。
    chmod +x <スクリプト名>
    <スクリプト名> は実際の bash スクリプトの名前に変更します。
  4. ターミナルを開き、非対称キーに対してこのスクリプトを実行します。
    <スクリプト ファイル> <非対称キー ファイル>
    たとえば、スクリプトの名前が「convertPublicKey.sh」でキー ファイルの名前が「myPublicKey.pem」の場合、コマンドは次のようになります。
    sh convertPublicKey.sh myPublicKey.pem

これによって二つの pem ファイルが生成されます。一つは末尾に pkcs8.pem があるファイルで、もう一つは末尾に pkcs1.pem があるファイルです。たとえば、myPublicKey.pem を変換する場合、スクリプトでは myPublicKey.pem.pkcs8.pem と myPublicKey.pem.pkcs1.pem が出力されます。

末尾が pkcs1.pem のファイルを HSM にインポートします。