Bring Your Own Key（BYOK）は、Zoho の KEK の代わりにお客様独自のキー暗号化キー（KEK）を使用できる機能です。キーは、お客様が選択した外部キー管理システム（EKM）から提供するか、暗号化済みキーを手動でアップロードして追加できます。

外部キー管理システムからお客様独自の KEK へのアクセスを提供することを選択した場合、その KEK は、当社が提供する DEK の暗号化および復号に使用されます。これにより、データセキュリティの主導権がお客様側にあり、組織のセキュリティをさらに強化できます。
処理の流れは次のとおりです。

1. Zoho Directory でキーを設定すると、当社からお客様の EKM に対して DEK の暗号化を依頼するリクエストを送信します。

2. EKM から返された暗号化済み DEK は、自社運用の KMS に保存されます。

3. 暗号化された DEK を復号するために、保存されている暗号文を使用して、お客様の EKM に復号リクエストを送信し、平文の DEK を受け取ります。

4. 平文の DEK は、お客様が許可した期間のみキャッシュされ、その後は再度 EKM に暗号化／復号リクエストを送信し、同じ処理を繰り返します。

キーをアップロードする場合の処理の流れは次のとおりです。

1. 当社の標準的な運用に従い、データは当社が管理する DEK を使用して暗号化され、KMS に保存されます。DEK はさらに当社の KEK で暗号化され、その KEK は別サーバーに保存されます。

2. お客様の KEK をアップロードするには、当社が提供する証明書から公開鍵を抽出し、その公開鍵を使用してお客様のキーを暗号化およびハッシュする必要があります。

3. 暗号化済み KEK とハッシュ化された KEK を Zoho Directory にアップロードします。

4. 当社の KEK を使用して DEK を復号し、平文の DEK を取得します。

5. この平文の DEK を、お客様が提供した KEK を使用して暗号化します。

キーは、各アプリケーションごとに個別に設定することも、2 つ以上のアプリケーションをグループ化して設定することも、組織内のすべてのアプリケーションに対して 1 つのキーを設定することもできます。