KMIPクライアント

InfQNAP · 2026 年 6 月 6 日午前 8:16

同じような状況の方の参考になればと思い、私の経験を共有します。

セキュリティ監査の要件を満たすため、8台のQNAPサーバー全てで共有フォルダの暗号化鍵を保存するKMSサーバーの導入が必要になりました。最新バージョンのQuTSにはKMIPクライアントが含まれていることは良かったのですが、サーバー機能が未搭載なのは残念でした。そこで、ThalesやEntrust、Vaultのようなオプションも検討しましたが、最終的にSynologyサーバーにはKMSサーバー機能があることを発見しました。正直Synologyはあまり好みではなかったものの、Synologyサーバーを購入してテストしてみることを考えました。事前にQNAPとSynologyの両社に確認したところ、「KMIPは標準規格なので、基本的には動作するはずですが、メーカーごとに仕様を変えている場合もあるので保証はできません」とのことでした。他のソリューションが高額だったこともあり、思い切ってSynology NASを購入し数週間検証した結果、問題なく動作しています。

ですので、QNAPがサーバー機能を提供してくれるまで（近い将来追加してくれることを願っています）、監査要件を満たすためにSynologyサーバーをこの用途専用で使い続ける予定です。

それでは。

dolbyman · 2026 年 6 月 6 日午後 2:53

NASモデルをまだ教えてもらっていませんよ。

それによっては、Dockerを使うのもアリなんじゃないですか？

InfQNAP · 2026 年 6 月 6 日午後 4:37

私たちにとっては、NASモデルが問題ではなく、QNAPのKMIPクライアントを接続して共有フォルダーの暗号鍵を保存できる、KMIPプロトコルに対応したKMSサーバーを探していました。いくつかのモデルでテストしました。

NA9D · 2026 年 6 月 7 日午後 9:39

@dolbymanさんが提案しているのは、KMSサーバーをDockerコンテナで実行するということだと思います。その実行可否やうまくできるかどうかは、お使いのNASモデルに依存します。

SamLin · 2026 年 6 月 8 日午前 11:05

@InfQNAP さん、

KMIP導入事例を共有いただき、ありがとうございます。
QNAPが「クライアントのみでサーバーなし」という分割設計にしている理由について少しご説明させてください。これは見落としではなく、意図的なものです。
組織がKMIPの導入段階に至るというのは、多くの場合、環境全体の暗号鍵を一元的に管理する必要が出てきたタイミングを意味します。管理すべき対象はNASだけでなく、仮想化プラットフォーム（VMware vSphere/vSANのVMやデータストア暗号化、Hyper-V、Nutanix）、自己暗号化ストレージアレイ、データベースのTDE（Oracle、SQL Server）、バックアップシステム（Veeam、Commvault）、SED/テープライブラリなど、多岐にわたります。そして、これらすべてのルートオブトラストとなるKMSは、それ自体がHSM搭載のキーストア、厳格な職務分掌、完全な監査可能なキーライフサイクル、独立した暗号モジュール認証など、管理対象機器よりも遥かに高い要件を求められます。
そのため、QNAPではストレージアプライアンスはKMIPのクライアントサイド＝信頼できる監査認定機関へと鍵をエスクローする管理対象エンドポイントとして位置付け、KMS自体として動作させることは推奨していません。同一ボックスで本番データの保管と組織の鍵管理を一手に担う運用は、多くのセキュリティ監査で要求される職務分掌の原則に反するからです。
この観点から、実運用では以下の方針を推奨しています：

【厳格な監査が求められる場合】 QNAPのKMIPクライアントと、既存の認証済みKMS（Thales CipherTrust Manager、Entrust KeyControl、IBM Guardium Key Lifecycle Manager、HashiCorp Vault Enterprise（KMIPシークレットエンジン）など）を組み合わせて構成してください。これらは監査人が求める暗号モジュールやキーライフサイクル要件を満たすために設計された製品であり、QNAPクライアントも標準KMIPサーバーとの相互運用性を備えています。
【コスト制約が主な課題の場合】専用の監査対応ホスト上にKMIPサーバーをコンテナで自前運用する道も合理的です。HashiCorp Vault / OpenBaoのKMIPエンジン、Cosmian KMS、開発やテスト用途にはPyKMIPなどが選択肢になります。運用面で重要なのは、どのボックス上で稼働しているかよりも、そのホストが堅牢・アクセス制御され・必要な監査証跡を確保できているかどうかです。

この場でハードな監査必須の方へ、よく混同されるポイントを補足します：

・相互運用性 — KMSがKMIP経由で疎通・連携できること
・アルゴリズム認証（NIST CAVP）— ベンダーのAES/SHA/RSA実装が正当性確認済みであること
・暗号モジュール認証（NIST CMVP, FIPS 140-2/140-3）— モジュールそのもの（キーマネジメントやセキュリティ境界を含む）が認証証明書を保有していること

監査人が気にするのは通常3番目で、これが最も厳しい基準になります。CAVPアルゴリズム認証のみ取得、または「Implementation Under Test」として掲載されているだけでは、実際に利用するキー管理コンポーネントがCMVP認証済み証明書を持つこととは同義ではありません。利用予定のKMSについては、NIST CMVP認証モジュールリストの掲載状況と証明書のスコープを必ず直接確認し、評価担当者にも照会してください。

改めてご提案と詳細なレポートに感謝します。QNAP中心環境向けの低コストかつ監査対応可能なKMSのニーズについては、社内で検討課題として持ち帰ります。ひとまずはご案内した認証済みKMSや堅牢化コンテナサーバー運用を活用いただければ、キー管理権限も監査水準を満たせるかと思います。