暗号化キーの概要の記録

Genesys Cloudは、各組織に固有の暗号鍵を使用します。 これらの暗号キーは、以下のような不正アクセスから録画を保護します。

  • コールのレコーディング
  • デジタル録音(メール、チャット、メッセージ)
  • スクリーンレコーディング
  • トランスクリプションが有効な場合、対応する録音のトランスクリプションを表示します。

Genesys Cloudは、以下の暗号化キー管理方法をサポートしています。

  • Genesys Cloud Managed Keys: Genesys Cloudは、録画の暗号化処理で使用する公開/非公開のKEK鍵ペアを生成し、保管します。 これにより、Genesys CloudにあるKEKを管理することができますが、鍵はGenesys Cloudが所有します。 KEKのコピーを保持する必要はない。 録画は復号化された状態で、再生、ダウンロード、一括エクスポートが可能です。
  • ローカルキーマネージャー(LKM): あなたの組織は、公開/非公開のKEKキー・ペアを生成し、それを保管するサービスを実装しています。

画像をクリックして拡大します。

LKMと連携する場合、Genesys Cloudは記録の暗号化に同じエンベロープ暗号化技術を使用し、KEKとしてあなたの公開鍵を使用します。 録画を復号化するには、まず暗号化されたDEKをLKMに送って復号化し、復号化されたDEKをGenesys Cloudに送り返し、録画を復号化するために使用されます。 KEKの秘密鍵はGenesys Cloudに入ることはありません。

重要。  セキュリティのため、秘密鍵は保護する必要があります。 LKMでは、KEKの所有権はお客様にあり、対応する録画が削除される前に、LKMから削除してはなりません。 Genesysは、KEKのいずれか(ローテートされたものを含む)が失われた場合、録画を回復する機構を持たない。

  • AWS KMS Symmetric: さらに、お客様の組織は、AWSの鍵管理サービス(KMS)を介してお客様から提供された対称鍵を使用して、プライベートなGenesys Cloud Managed KEKキー・ペアを暗号化します。 LKMと同様に、このオプションではGenesys Cloudの録画に対するアクセス制御をアサートすることができます。 Genesys Cloudは、AWS KMSの対称鍵へのアクセスを許可している限り、録画を復号化することができます。

画像をクリックして拡大します。

AWS KMS と連携する場合、 Genesys Cloud は録画の暗号化に同じ封筒暗号化技術を使用します。録画の復号化のために、秘密 KEK 鍵ペアはまず AWS KMS によって復号化されます。  復号化されると、Genesys Cloudはそれを使ってDEKを復号化し、DEKはその後、録画の復号化に使われる。 あなたの対称的なAWS KMSキーはGenesys Cloudに入ることはありません。

重要。  セキュリティのため、AWS KMSで対称鍵を保護する必要があります。 これらの対称鍵の所有権はお客様にあり、対応する録画が削除される前に削除してはなりません。  Genesysは、対称鍵(ローテートされたものを含む)のいずれかが失われた場合、記録を回復するメカニズムを持っていない。

Genesys Cloudは、録画の暗号化にエンベロープ暗号化技術を使用しています。 録音は、まず対称型のデータ暗号鍵(DEK)を用いて暗号化し、その後、非対称型の鍵暗号鍵(KEK)のペアを用いてDEKを暗号化する。 暗号化された録画と暗号化されたDEKの両方がファイルにパッケージされ、Genesys Cloudの録画レポジトリにアップロードされる。
  • KEKについては、Genesys CloudはRSA 3072bitの公開鍵/秘密鍵のペアを作成します。 公開鍵は、暗号化のために内部で公開される。 秘密鍵は復号化のために使用され、Genesys Cloud内の暗号化サービスから離れることはない。 KEKキーペアの公開鍵と秘密鍵は、数学的にリンクしている。
  • DEKについては、Genesys CloudがAES 256bitの共通鍵を生成します。 録音ごとに異なるDEKが生成されます。
  • DEKは、KEKキーペアに関連付けられた公開鍵によって暗号化され、対応する秘密鍵によってのみ復号化できる。

Genesys Cloud Media Tierは、安全に保存される録画を作成する際、上記の暗号化プロセスを遵守しています。 これには、暗号化されたファイルが録画レポジトリにアップロードされる前のMedia Tierの中間ストレージが含まれます。  メディア層の仲介ストレージは、Genesys Cloud Voice またはBYOC Cloud の場合は Genesys Cloud 内に、BYOC Premises の場合はオンプレミスに配置されます。 長く強力な暗号化キーを使用することで、総当たり攻撃を効果的に防御します。

録画ファイルを復号化する必要がある場合(ユーザーからの録画再生リクエストに対応する場合など)、録画リポジトリからファイルを取得した後、以下の復号化処理が行われる。

  1. 暗号化されたDEKは、KEK鍵ペアに対応する秘密鍵を用いて復号化される。
  2. DEKでは、暗号化された録音を復号化します。

録画したものを大量にエクスポートする際にも、同じ復号化処理が行われます 。 エクスポートされた録画ファイルは、前述の暗号化キーによる暗号化が解除されます。 ただし、エクスポートされたS3バケットでは、Amazon S3管理暗号キー(SSE-S3)、またはAWS Key Management Service(SSE-KMS)に保存されたCustomer Master Keys(CMKs) 、ポリシーに従ってサーバーサイド暗号化(SSE)が有効になり、セキュリティが確保されます。 さらに、PGP互換の暗号化 を指定すると、エクスポートする際にファイルを暗号化することができます。

画像をクリックして拡大します。

暗号化キーを定期的に変更することで、記録されたやりとりの安全性を確保することができます。 あるキーがアクセスできる録画の数を制限するものです。

 メモ:   スケジュールされたキーローテーションを短い間隔で使用することをお勧めします。

暗号化キー管理ページには、Admin> Quality > Encryption Keys からアクセスできます。

画像をクリックして拡大します。