エンドツーエンドのセキュリティに対する取り組みの一環として、 Webexは各組織の代わりにメインキーを保持しています。 コンテンツを直接暗号化しないため、メイン キーと呼ばれていますが、コンテンツを暗号化する組織の他のキーを暗号化するために使用されます。 鍵階層の基本レベルはコンテンツ キー (CK) と呼ばれ、鍵の中間レベルはキー暗号化キー (KEK) と呼ばれます。

一部の組織は独自のセキュリティを管理することを希望しているため、独自の顧客メイン キー(CMK)を管理するオプションを提供しています。 これは、Webex がコンテンツ暗号化キーを暗号化するために使用するメインキーを作成して回転(再暗号化)する責任があることを意味します。

今後、特に指定されない限り、キーは CMK を指します。

展開方法
  1. Webexは CMK をハードウェアセキュリティモジュール (HSM) に保持して、 Webexサービスが CMK 値にアクセスできないようにします。

  2. Control Hub には、現在アクティブな、または失効した CMK と、HSM に保存されている保留中の CMK が表示されます。 CMKを回転(再暗号化)する必要がある場合は、新しいCMKを生成し、HSMの公開キーで暗号化して、HSMだけが復号化して保存できるようにします。

  3. その後、Control Hub で新しい CMK をアップロードし、アクティブ化します。 Webexはすぐに、コンテンツキーを暗号化するための新しい CMK の使用を開始します。 Webexは古い CMK を保持しますが、コンテンツ暗号化キーが新しい CMK により保護されていることが確認されるまで継続します。


 
既存のすべてのコンテンツを遡及的に再暗号化することはありません。 CMK を有効にすると、すべての新しいコンテンツ (スペースとミーティング) が再暗号化され、保護されます。

一部の組織では、Webex 以外の独自のキーを管理することを好むことを認識しています。 そのため、Amazon Web Services(AWS)Key Management Service(KMS)で独自のCMKを管理するオプションを提供しています。 これは、AWS KMS でキーを管理する責任があることを意味します。 Webex が AWS コンソール経由で AWS KMS キーを使用して暗号化および復号化することを許可します。 CMK の代わりに AWS KMS キー ID を Webex に提供します。 これは、Webex がクラウドのコンテンツ暗号化キーを暗号化するために使用する AWS KMS キーを作成して回転(再暗号化)する責任があることを意味します。

展開方法

  1. AWS でキーを作成します。 AWS KMS は、キーを管理し、キーをハードウェアセキュリティモジュール (HSM) に保存するために使用されます。

  2. Webex に AWS コンソールから AWS KMS キーを使用するためのアクセスを提供します。

    これは、CMK を Control Hub にアップロードする代わりに、Webex に AWS KMS キーへのアクセスを提供することを意味します。 AWS KMS キーは AWS KMS を離れず、Webex サービスには AWS KMS キーマテリアルへのアクセス権がありません。

    Control Hub には、現在アクティブまたは取り消された AWS KMS キーと、AWS KMS に保存されている保留中の AWS KMS キーが表示されます。 AWS KMS キーを回転させる必要がある場合は、AWS KMS コンソールで新しい AWS KMS キーを生成します。

  3. 次に、Control Hub で新しい AWS KMS キーを追加してアクティブ化し、新しい AWS KMS キーの Amazon リソース名(ARN)を提供します。 Webex はすぐに新しい AWS KMS キーを使用してコンテンツ キーを暗号化し始めます。 Webex では古い AWS KMS キーは必要なくなりました。 古い AWS KMS キーは、コンテンツ暗号化キーが新しい AWS KMS キーで回転して保護された後、Control Hub から消えます。 Webex は AWS KMS から AWS KMS キーを削除しません。 顧客管理者は、AWS KMS からキーを削除できます。

キーのライフサイクル

キーの状態の定義
保留中

この状態のキーは HSM に保存されますが、暗号化にはまだ使用されません。 Webexは、この CMK を暗号化に使用しません。


 
この状態にあるキーは 1 つだけです。
アクティブ

Webexは現在、組織の他のキーを暗号化するためにこの CMK を使用しています。


 
この状態にあるキーは 1 つだけです。
回転

Webexは一時的にこの CMK を使用しています。 Webexは、このキーで以前暗号化されたデータとキーを復号するために必要です。 このキーは、回転(再暗号化)が完了するとリタイアされます。


 
ローテーションが完了する前に新しいキーがアクティブ化された場合、複数のキーがこの状態になる可能性があります。
サービス終了しました

Webexはこの CMK を使用していません。 このキーは暗号化に使用されなくなりました。 キーの存続可能時間後にこのキーが HSM から削除されます。

取り消し済み

Webexはこの CMK を使用していません。 このキーで暗号化されたデータとキーがあっても、 Webexはデータとキーを解読するためにそれを使用できません。


 
  • 侵害された場合のみアクティブ キーを失効させる必要があります。 これは多くの操作が適切に動作することを妨げる重要な決定です。 たとえば、新しいスペースを作成することはできません。また、 Webexクライアントでコンテンツを解読することはできません。
  • この状態にあるキーは 1 つだけです。 新しいキーを回転(再暗号化)するには、このキーを再アクティブ化する必要があります。
  • この CMK は削除できますが、削除する必要はありません。 セキュリティ侵害の疑いを解決した後、復号化/再暗号化のために保管することをお勧めします。
削除済み

Webexはこの CMK を使用していません。 この状態での動作は、キーの有効期限が設定された後にこのキーが HSM から削除されることを除き、取り消し状態と同じです。


 
  • 削除された CMK が [削除済み] 状態に移行する場合、元のキーを復元して組織の機能を復元する必要があります。
  • 元のキーのバックアップコピーを保存しておくことをお勧めします。さもないと、組織が機能しなくなります。
削除しました

これは論理的な状態です。 Webexは、HSM に保存されたこの CMK がありません。 Control Hub には表示されません。

所有権

CMK の所有権を取得するには、次のことを行う必要があります。

  • 鍵の安全な作成とバックアップに責任を持つ
  • 鍵を紛失した場合の影響を理解します
  • ベストプラクティスとして、アクティブCMKを少なくとも年に1回再暗号化する
キーの作成

これらのパラメータを使用して独自の CMK を作成する必要があります。 キーは次の条件を満たしている必要があります。

  • 256 ビット(32 バイト)長
  • RSA-OAEP スキームで暗号化
  • Webex Cloud HSM 公開キーで暗号化されている

キー生成ソフトウェアに対応している必要があります。

  • SHA-256 ハッシュ機能
  • MMF1 マスク生成関数
  • PKCS#1 OAEP パディング

参照先:例: OpenSSL でキーを作成し暗号化するをこの記事の [リソース] タブで選択します。

認証

Control Hub でWebex組織にアクセスできる必要があります。 あなたは、フル管理者を使用して、CMK を管理します。

1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

BYOK を有効にするには、トグルBring Your Own キー(BYOK)にサインインしたすべてのプラットフォームのデータが表示されます。 BYOK を無効にした場合、 Webex共通デフォルトキーが組織のメイン キーになります。

3

カスタムキーをアップロード]を選択し、[次へ]をクリックします。

4

クリック公開鍵をダウンロードを選択します。

Webex HSM 公開キーをローカルシステム上の .pem ファイルに保存します。

5

キー管理ソフトウェアを使用して、暗号化された安全な 256 ビット (32 バイト) のランダムキーを作成します。

6

Webex HSM パブリック キーを使用して、新しいキーを暗号化します。

必要な暗号化パラメータは次のとおりです。

  • RSA-OAEP スキーム
  • SHA-256 ハッシュ機能
  • MMF1 マスク生成関数
  • PKCS#1 OAEP パディング
参照先:例: OpenSSL でキーを作成し暗号化するをこの記事の [リソース] タブで選択します。
7

暗号化されたキーをファイル システムからドラッグし、コントロール ハブ インターフェイスのアップロード領域にドロップするか、ファイルを選択を選択します。

8

[次へ] をクリックします。

Webexはキーを HSM にアップロードし、そこで復号と検証を行います。 次に、Control Hub は新しい CMK のIDと、現在アクティブな CMK のIDを表示します。

これが最初の CMK の場合、現在アクティブなキーは、 Webex共通デフォルトキー(組織のキーの暗号化に現在使用されているもの)。

9

キーをアクティベートする方法を選択します。

  • 新しいキーをアクティベート: 新しい CMK はすぐにアクティブ状態になります。 以前のアクティブ CMK は、すべてのコンテンツが新しい CMK によって保護されるまで、ローテーション(再暗号化状態)に入り、その後、Webex は以前のアクティブ CMK を削除します。
  • 後でアクティベート: 新しい CMK は [保留中] 状態に移動します。 Webexはこの CMK を HSM に保持しますが、まだ使用しません。 Webexは、組織のキーを暗号化するために現在アクティブな CMK を使用し続けます。

次に行うこと


 
既存のすべてのコンテンツを遡及的に再暗号化することはありません。 CMK を有効にすると、すべての新しいコンテンツ (スペースとミーティング) が再暗号化され、保護されます。
1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

アクティブな CMK に移動します。

4

クリック回転]を選択します

5

新しいキーを作成し、暗号化します (まだ行っていない場合)。

手順は次で説明されています顧客のメイン キーを作成してアクティベートします参照してください。
6

ファイルシステムから新しいキーをドラッグし、Control Hub にドロップします。

7

クリック新しいキーをアクティベートを選択します。

アップロードした新しいキーはアクティブな状態になります。

古い CMK は、Webex が新しい Active CMK ですべてのコンテンツの暗号化を終了するまで、Rotation (再暗号化状態) のままになります。 再暗号化後、キーはリタイア状態に移動します。 その後、 Webexは古い CMK を削除します。

1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

アクティブなキーに移動します。

4

クリック取り消しを選択します。

5

キーの失効を確認します。

キーを完全に取り消すには、最大 10 分かかります。
1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

現在無効になっているキーに移動します。

4

クリックアクティベート]を選択します

5

キーのアクティベーションを確認します。

以前に失効したキーは、アクティブ状態になります。
1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

取り消されたキーに移動します。

4

クリック削除]を選択します

5

キーの削除を確認します。

削除すると、30日以内にキーを復元するオプションがあります。
1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

削除されたキーに移動します。

4

クリック元に戻す]を選択します

5

キーの復元を確認します。

復元されると、Control Hub は削除される前に Revoked 状態のキーを表示します。 たとえば、取り消されたキーを削除してキーを復元すると、Control Hub には、復元されたキーが [取り消された(Revoked)] 状態で表示されます。

所有権

AWS KMS キーの所有権を取得するには、次のことが必要です。

  • AWS KMS キーの安全な作成とバックアップに責任を持ちます。
  • AWS KMS キーを失うことの意味を理解します。
  • ベストプラクティスとして、アクティブな AMS KMS キーを少なくとも 1 年に 1 回再暗号化します。
認証
  • Webex 組織の AWS KMS でキーを作成および管理する権限を持つ必要があります。
  • Control Hub でWebex組織にアクセスできる必要があります。 AWS KMS キーを管理するには、フル管理者 である必要があります。
1

AWS にサインインし、AWS KMS コンソールに移動します。

2

顧客管理キー」を選択し、「キーの作成」をクリックします。

3

次の属性でキーを作成します。

  • [キーの種類(Key type)]:[対称性(Symmetric)] を選択します。
  • キーの使用:[暗号化および復号]を選択します。
  • [ラベル(Labels)]:エイリアス、説明、タグを入力します。
  • キー管理者 - 組織のキー管理者ユーザーとロールを選択します。
  • [キーの削除(Key deletion)]:[キー管理者にこのキーの削除を許可(Allow key administrators to delete this key)] にチェックを入れます。
  • キーユーザー—組織のキーユーザーとロールを選択します。
4

[次へ] をクリックします。

5

設定を見直し、[終了]をクリックします。

AWS KMS キーが作成されます。
6

顧客管理キーに移動し、エイリアスまたはキーIDをクリックしてARNを表示します。

次に行うこと

ARN の一時的なコピーを保持することをお勧めします。 この ARN は、Control Hub で AWS KMS キーを追加してアクティブ化するために使用されます。

1

AWS にサインインし、AWS CloudShell コンソールに移動します。

2

コマンド create-grant 次のように Webex を承認します。

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}
例:
aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
            

 
この KMS_CISCO_USER_ARN あなたの組織に固有です。 ARN は、Control Hub で新しい AWK KMS キーを有効にするときに [AWS キーの追加] ウィンドウに表示されます。

始める前に

Control Hub でアクティブ化する前に、AWS KMS キーを作成する必要があります。 この記事のAWS KMSキーの作成を参照してください。

Webex に AWS KMS キーへのアクセスを提供する必要があります。 この記事の「AWS KMS キーへのアクセスを許可する」を参照してください。

1

Control Hub にサインインします。

2

に移動 [組織設定] > [キーの管理]を選択し、[独自のキーを入力(BYOK)]をオンに切り替えます。

BYOK を無効にした場合、 Webex共通デフォルトキーが組織のメイン キーになります。

3

[AWS KMS キーの追加] を選択し、[次へ] をクリックします。

4

AWS コンソールから ARN を取得します。

5

Control Hub に ARN を入力し、[追加] をクリックします。

キー ARN が Cisco KMS にアップロードされ、キーへのアクセスが検証されます。 次に、Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID があれば表示されます。

これが最初の AWS KMS キーである場合、現在アクティブなキーは Webex 共通のデフォルト キー (組織のキーの暗号化に現在使用しているキー) です。

6

キーをアクティベートする方法を選択します。

  • アクティベート: 新しい AWS KMS キーはすぐにアクティブ状態になります。
  • 後でアクティベート: 新しい AWS KMS キーは、保留状態に移行します。 Webex はこの AWS KMS キー ARN を Cisco KMS に保存しますが、まだ使用していません。 Webex は、組織のキーを暗号化するために、現在アクティブな AWS KMS キーを引き続き使用します。
1

Control Hubにサインインし、組織の設定 > キーの管理

2

アクティブな AWS KMS キーに移動します。

3

クリック回転]を選択します

4

新しい AWS KMS キーと新しい ARN を入力し、[追加] をクリックします。

この手順については、この記事のAMS KMSキーの追加と有効化を参照してください。
5

[有効化] をクリックします。

アップロードした新しい AWS KMS キーは Active 状態になります。

古い AWS KMS キーは、Webex が新しい Active AWS KMS キーですべてのコンテンツの暗号化を終了するまで、回転状態のままになります。 再暗号化した後、古い AWS KMS キーは Control Hub から自動的に消えます。

1

Control Hubにサインインし、組織の設定 > キーの管理

2

別のキーを追加をクリックします。

3

新しい AWS KMS キーを入力し、[追加] をクリックします。

Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID が表示されます。

この手順については、この記事のAMS KMSキーの追加と有効化を参照してください。

4

[有効化] をクリックします。

アップロードした新しい AWS KMS キーは Active 状態になります。

古い AWS KMS キーは、Webex が新しい Active AWS KMS キーですべてのコンテンツの暗号化を終了するまで、回転状態のままになります。 再暗号化した後、古い AWS KMS キーは Control Hub から自動的に消えます。

1

Control Hubにサインインし、組織の設定 > キーの管理

2

現在アクティブな AWS KMS キーに移動します。

3

クリックローカル取り消し]を選択します

4

キーの失効を確認します。

キーを完全に取り消すには、最大 10 分かかります。 AWS KMS キーは、ローカルで取り消された状態になります。

 

顧客管理者が AWS KMS コンソールからキーを取り消した場合、AWS KMS キーは Control Hub の Revoked by Amazon 状態に表示されます。

1

Control Hubにサインインし、組織の設定 > キーの管理

2

取り消された AWS KMS キーに移動します。

3

クリック削除]を選択します

4

キーの削除を確認します。

削除すると、30日以内にキーを回復できます。


 

AWS コンソールから CMK を削除する前に、まず AWS KMS キーを Control Hub から削除することをお勧めします。 Control Hub の AWS KMS キーを削除する前に、AWS コンソールから CMK を削除すると、問題が発生する可能性があります。

AWS コンソールから CMK を削除する前に、AWS KMS キーが Control Hub に表示されなくなったことを確認してください。

1

Control Hubにサインインし、組織の設定 > キーの管理

2

削除された AWS KMS キーに移動します。

3

クリック元に戻す]を選択します

4

キーの復元を確認します。

復元されると、Control Hub に Revoked 状態のキーが表示されます。

AWS KMS キーで問題が発生した場合は、次の情報を使用してトラブルシューティングを行います。

  • AWS KMS キー ARN。 例: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab です。

  • AWS KMS キーに付与されます

  • AWS KMS キー状態。 たとえば、AWS KMS キーは無効になっています。

この例では、OpenSSL コマンドラインツールのバージョン 3.0 を使用します。 参照先OpenSSLこれらのツールの詳細については をご覧ください。

1

Control Hub にサインインします。

2

このリンクを選択します:組織設定次のページにアクセスしてください:キー管理を選択します。

3

クリック公開鍵をダウンロードを選択します。

ローカル システムの .pem ファイルでWebex HSM パブリック キーを取得します。

4

256 ビット(32 バイト)のキーを作成します。 openssl rand -out main_key.bin 32 です。

この例では、ファイル名main_key.binを暗号化されていない新しいキーに追加します。

または、16 進ダンプ、Python、またはオンラインジェネレータを使用して 32 バイトのランダム値を生成することもできます。 また、AWS KMS キーを作成して管理することもできます

5

Webex HSM パブリック キーを使用して、新しいキーを暗号化します。

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

この例では、ファイル名main_key_encrypted.bin暗号化出力キーおよびファイル名の場合は、パス/宛先/public.pemをWebex公開キーに対して行います。

暗号化されたキーを Control Hub にアップロードする準備ができました。