序論

キーを自分で持ち込む（BYOK）は、あなたが自身のKEKをZohoが提供するKEKの代わりに使用できる機能です。あなたが選択した外部キーマネージャー（EKM）からキーを追加するか、暗号化されたキーを手動でアップロードするオプションがあります。

もし、外部キーマネージャーから自身のKEKのアクセスを提供することを選択した場合、それは私たちが提供するDEKの暗号化または復号化に利用されます。これにより、データのセキュリティに対するコントロールができ、組織のセキュリティを強化することができます。
手続きは以下の通りです：

1. 一度あなたがキーをZohoディレクトリーで設定すると、私たちはデータ保護キー(DEKs)を暗号化するためにあなたの企業キーマネージメント(EKM)へリクエストを送信します。

2. EKMから返された暗号化されたDEKは、私たちの独自のキーマネージメントシステム(KMS)で保存されます。

3. 暗号化されたDEKを解読するために、保存された暗号文を使用してEKMに解読リクエストを送信し、プレーンなDEKを受け取ります。

4. プレーンなDEKは、あなたが指定した期間だけキャッシュされます。その後で、私たちは再度EKMに暗号化/解読リクエストを送信し、全体のプロセスを繰り返します。

キーをアップロードすることを選択した場合、手順は以下の通りです：

1. 当社の標準的な手順に従って、データは当社が管理するDEKを使用して暗号化され、当社のKMSに保存されます。DEKはさらに、別のサーバーに保存される私たちのキーエンクリプションキー(KEK)を使用して暗号化されます。

2. KEKをアップロードするためには、私たちが提供する証明書から公開鍵を抽出し、それを使ってキーを暗号化しハッシュ化する必要があります。

3. Zoho Directoryに暗号化されたKEKとハッシュ化されたKEKをアップロードします。

4. 私たちは、私たちのKEKを使用してDEKを復号化し、プレーンなDEKを取得します。

5. このプレーンなDEKは、あなたが提供したKEKを使用して暗号化されます。

あなたは各アプリケーション毎にキーを設定するオプションを持っていますし、グループ2やその他のアプリケーション、または組織内のすべてのアプリケーションのための単一のキーを設定するオプションも持っています。