Bring Your Own キー（BYOK）は、お客様自身のキー暗号化キー（KEK）をZohoのKEKの代わりに使用できる機能です。任意の外部キー管理サービス（EKM）からキーを追加するか、暗号化されたキーを手動でアップロードすることが可能です。

外部キー管理サービスからご自身のKEKへのアクセス権を提供する場合、そのKEKが当社が提供するDEKの暗号化および復号に使用されます。これにより、データセキュリティの管理をお客様側で維持でき、組織のセキュリティが強化されます。
手順は次の通りです。

1. Zoho Directoryでキーを設定後、当社からお客様のEKMにDEKの暗号化リクエストを送信します。

2. EKMから返却された暗号化済みDEKは、当社のKMSに保存されます。

3. 暗号化されたDEKを復号する際は、保存されている暗号化テキストを用いてEKMに復号リクエストを送り、平文DEKを取得します。

4. 平文DEKは、お客様が許可した期間のみキャッシュされます。その後は再度EKMに暗号化／復号リクエストを送り、このプロセスを繰り返します。

キーをアップロードする場合、手順は以下の通りです。

1. 弊社のスタンダードな運用に基づき、データは弊社が管理するDEKで暗号化され、KMSに保存されます。さらに、DEKは弊社のKEKで暗号化され、このKEKは別のサーバーに保存されます。

2. KEKをアップロードするには、弊社が提供する証明書から公開キーを抽出し、その公開キーを使用してキーを暗号化およびハッシュ化する必要があります。

3. 暗号化されたKEKとハッシュ化されたKEKをZoho Directoryにアップロードします。

4. 弊社のKEKを使用してDEKの暗号化を解除し、平文のDEKを取得します。

5. この平文のDEKを、お客様が提供したKEKで暗号化します。

各アプリケーションごとに個別でキーを設定することも、2つ以上のアプリケーショングループ、またはその他のアプリケーション用に設定することも、組織内のすべてのアプリケーションに対して単一のキーを設定することも可能です。