投稿日: Dec 14, 2017
本日から、新しい Amazon CloudFront 機能であるフィールドレベル暗号化を使用して、クレジットカード番号や社会保障番号のように個人を識別できる情報 (PII) など、機密データのセキュリティをより強化できるようになりました。CloudFront のフィールドレベル暗号化では、フィールド固有の暗号化キー (お客様指定) を使用して、POST リクエストがお客様のオリジンに転送される前に HTTPS 内で機密データをさらに暗号化します。これにより、機密データはお客様のアプリケーションスタックの特定のコンポーネントまたはサービスでのみ、復号化および表示できます。
多くのウェブアプリケーションがユーザーから機密データを収集し、機密データはその後オリジンインフラストラクチャで実行されるアプリケーションサービスによって処理されます。それらのウェブアプリケーションは、エンドユーザーと CloudFront、および CloudFront とオリジン間で SSL/TLS 暗号化を使用しています。オリジンでは、ユーザー入力に基づいて重要なオペレーションを実行する複数のマイクロサービスを使用していることがあります。たとえば、e コマースサイトでは、購入者のクレジットカード番号や配送先住所を収集して、注文を処理します。このような注文は、アプリケーションレイヤーの支払いマイクロサービスやオーダーフルフィルメントサービスで処理される場合があります。オーダーフルフィルメントサービスはクレジットカード番号にアクセスする必要はありません。フィールドレベル暗号化を使用すると、CloudFront のエッジロケーションがクレジットカードデータを暗号化できます。そこからは、プライベートキーを持つアプリケーションのみが機密フィールドを復号化できます。従って、オーダーフルフィルメントサービスでは暗号化されたクレジットカード番号のみが表示されますが、支払いサービスではクレジットカードデータを復号できます。これにより、アプリケーションサービスの 1 つで暗号テキストが漏洩しても、データは暗号化された状態のまま保護されるため、よりレベルの高いセキュリティを実現できます。
フィールドレベル暗号化は簡単にセットアップできます。お客様が指定するパブリックキーを使用して CloudFront でさらに暗号化する必要があるフィールドを構成するだけで、機密データの攻撃対象領域を削減できます。これにより、PCI DSS などのセキュリティコンプライアンス要件を満たすことがより簡単になります。フィールドレベル暗号化は追加暗号化を必要とするリクエストの数に基づいて課金されます。標準の HTTPS リクエスト料金に加えて、CloudFront がフィールドレベル暗号化を使用して暗号化するリクエスト 10,000 件当たり 0.02 USD が課金されます。詳細については料金表ページを参照してください。