管理者｜独自の鍵をインポートまたは変更する（Windows）

ヘルプセンター

AI アシスタント

閲覧時間数：12 分

機能紹介

🔖

ご注意：この機能を利用するには、別途お支払が必要です。ご不明な点がございましたら、カスタマーサービスもしくはデジタルコンサルタントにお問い合わせください。

実行権限：スーパー管理者または「デプロイと暗号化」の権限を持つ管理者が実行可能

Lark は、法人の情報セキュリティを確保するために鍵を使用します。鍵を使用してクライアントのデータを暗号化すると、クラウドに安全に保存できます。

Lark は独自の鍵を提供し、その管理権限を法人に付与します。法人は、自分で準備した鍵を Lark が提供するデフォルトの鍵の代わりに使用して、鍵を自分で管理することもできます。

法人は、チャット、Docs、ビデオ会議、カレンダー、メールおよびそのほかの製品ラインごとに、独自の鍵をインポートし、そのデータを暗号化できます。法人は、すべての製品ラインで同一の鍵を使用してデータを暗号化することも、製品ラインごとに異なる鍵を使用して暗号化する（推奨）こともできます。

法人管理者は鍵を変更できます。鍵の変更後に作成されたデータは新しい鍵で暗号化され、古い鍵は以前のデータを復号するためにのみ使用されます。

操作手順

2.1 鍵をインポートする

2.1.1 インポートを開始する

Lark 管理コンソールにアクセスして、セキュリティ > 法人鍵を管理 > 独自の鍵をクリックします。 + をクリックして、独自の鍵をインポートを選択し、インポートを開始します。

250px|700px|reset

250px|700px|reset

2.1.2 公開鍵のアルゴリズムを選択する

ステップ 1：公開鍵のアルゴリズムを選択して、次へをクリックします。（RSA2048_RSAES_OAEP_SHA256 を推奨）

250px|700px|reset

2.1.3 公開鍵ファイルをダウンロードする

ステップ 2：公開鍵の取得方法をコピーまたはダウンロードから選択します。ダウンロードを選択して、PublicKey_base64.txt という名前のファイルをダウンロードし、ローカルに保存することをお勧めします。次へをクリックします。

250px|700px|reset

注：公開鍵は「公開鍵の生成日時 + 24h」まで有効です。

2.1.4 ローカルで独自の鍵を生成して暗号化する

ローカルに KeyImport フォルダを作成します。

使用している Windows のバージョンに対応したスクリプトをダウンロードして、KeyImport フォルダに保存します。

32ビットシステム：

ダウンロード

64ビットシステム：

ダウンロード

2.1.3 のステップでダウンロードした公開鍵 PublicKey_base64.txt ファイルを KeyImport フォルダに保存します。

Windows 端末を開いて、KeyImport ディレクトリに移動します。

KeyImport ディレクトリに移動する方法：キーボードから cd そしてスペースを入力します。マウスで KeyImport フォルダを端末のウィンドウにドラッグ&ドロップしてから Enter キーを押すと、 KeyImport ディレクトリに移動できます。

独自の鍵を生成し、公開鍵を使って暗号化します。

Terminal にて暗号化コマンドを入力します。ステップ 2.1.3 で選択した公開鍵のアルゴリズムに応じて、鍵のタイプを選択してから、コマンドを入力します。現在のところ、Lark は二つの鍵のアルゴリズム AES_256_GCM（使用を推奨）と SM4_128_GCM をサポートしています。どちらかを選択して使用します。公開鍵のアルゴリズム、鍵のタイプ、入力するコマンドは、以下の通りです。

2.1.3 で選択した公開鍵のアルゴリズム	鍵のタイプ	Terminal にて入力するコマンド（コマンドに enc_win64 を使用するか、または enc_win32 を使用するかは、ダウンロードしたスクリプトによります）
RSA2048_RSAES_OAEP_SHA256（使用を推奨）	AES256（推奨）	.\enc_win64 -t=3 -u=0 -a=0
RSA2048_RSAES_OAEP_SHA256（使用を推奨）		SM4	.\enc_win64 -t=3 -u=0 -a=2
RSA2048_RSAES_PKCS1_V1_5	AES256	.\enc_win64 -t=1 -u=0 -a=0
RSA2048_RSAES_PKCS1_V1_5		SM4	.\enc_win64 -t=1 -u=0 -a=2
RSA2048_RSAES_OAEP_SHA_1	AES256	.\enc_win64 -t=2 -u=0 -a=0
RSA2048_RSAES_OAEP_SHA_1		SM4	.\enc_win64 -t=2 -u=0 -a=2
SM2PKE	AES256	.\enc_win64 -t=4 -u=0 -a=0
SM2PKE		SM4	.\enc_win64 -t=4 -u=0 -a=2

KeyImport フォルダに、MasterKey_hex（独自の鍵の平文ファイル）と PublicEncryptedMasterKey_base64.txt （独自の鍵の暗号文ファイル）の二つのファイルが生成されます。PublicEncryptedMasterKey_base64.txt が、アップロードする独自の鍵の暗号文です。

250px|700px|reset

注：鍵 ID（インポート後に表示）と独自の鍵の平文ファイル（独自の鍵の平文を含む）は、しっかりと保管しておき、必要な場合に、鍵 ID に結びつけられた関連情報や独自の鍵の平文を参照できるようにしましょう。

2.1.5 鍵をアップロードする

ステップ 3：鍵の名称を入力してから、ステップ 2 と同じ鍵のタイプを選択します。暗号化したい製品ラインを選択してから、独自の鍵の暗号文ファイル PublicEncryptedMasterKey_base64.txt の内容をコピーして、アップロードする鍵の入力欄に貼り付けます。製品ラインごとに異なる鍵を使用して暗号化を行うようおすすめします。

250px|700px|reset

鍵をインポートをクリックするとポップアップウィンドウが表示されます。間違いがないことを確認してから、新しい鍵をインポートをクリックします。

250px|700px|reset

2.1.6 インポートを完了する

ユーザーが鍵をインポートすると、鍵の名称、独自の鍵の暗号文が適切かどうか、鍵の長さが鍵のアルゴリズムと合っているかどうかをシステムが判断します。鍵のアルゴリズムによって、鍵の長さは異なります。各パラメータが正しい場合、独自の鍵のアップロードが成功し、独自の鍵をインポートしましたというメッセージが表示されます。

ユーザーがすべての製品ラインを暗号化すると、以下のような画面が表示されます。

250px|700px|reset

独自の鍵をインポートして暗号化していない製品ラインがほかにもまだある場合、独自の鍵をインポートしましたというメッセージ画面に、まだ独自の鍵をインポートしていない製品ラインがあることが表示されます。続けて鍵をインポートをクリックすると、引き続き鍵をインポートして、まだ暗号化されていないほかの製品ラインを暗号化できます。チャットにのみ鍵をインポートすると、以下のような画面が表示されます。

250px|700px|reset

2.2 鍵を確認・変更する

鍵のインポートに成功すると、アップロードした新しい鍵がリストに表示されます。

先ほどの独自の鍵をインポートボタンが画面右上に移動して、鍵を変更に名前が変わります。操作方法は先ほどと同じです。

リストに鍵の履歴が表示され、ステータスが使用中となります。

250px|700px|reset

注：実際には、鍵をインポートまたは変更してもすぐには有効になりません。新しい鍵は 5 分ほどしてキャッシュファイルが刷新されると有効になります。そのため、インポートまたは変更の操作をしてから 10 分以内に、ユーザーが再び独自の鍵をインポートまたは鍵を変更をクリックした場合、インポートまたは変更のステップには進めません。

よくある質問

Q：法人がカスタムの独自の鍵を使用することはできますか？

A：はい、できます。Lark は AES_256_GCM（推奨）、SM4_128_GCM の 2 種類の鍵アルゴリズムをサポートしており、必要に応じて選択できます。

選択した鍵アルゴリズムに基づいて、以下のオンラインツールを使用して指定された長さのランダムバイトストリーム（16 進数エンコード）を生成し、独自の鍵として使用します。

AES_256_GCM の鍵に使用できるオンラインツール：https://gchq.github.io/CyberChef/#recipe=Pseudo-Random_Number_Generator(32,'Hex')

SM4_128_GCM の鍵に使用できるオンラインツール：https://gchq.github.io/CyberChef/#recipe=Pseudo-Random_Number_Generator(16,'Hex')

250px|700px|reset

独自の鍵をローカルファイル「MasterKey_hex.txt」に保存し、このファイルを「KeyImport」フォルダに配置します。

カスタムの鍵をインポートします。

鍵ジェネレーターを使用して鍵をインポートする場合、生成方法にローカルに既存のマスター鍵がありますを選択し、指示に従って操作を完了します。

スクリプトを使用して鍵をインポートする場合、ローカルの「MasterKey_hex.txt」にある独自の鍵を暗号化し、ターミナルでコマンドラインを入力する際に -u のパラメータ値を 1 に変更します。パラメータ値の説明は下表を参照してください。

パラメータ値	説明
-u=0	このパラメータ値でコマンドを実行すると、スクリプトによって新しい鍵がランダムに生成され、新しく生成される MasterKey_hex.txt ファイルに保存されます。ただし、この場合、コマンドを実行する前にローカルに MasterKey_hex.txt との名のファイルがないことを確認する必要があります。
-u=1	このパラメータ値でコマンドを実行すると、スクリプトは既存の鍵を使用し、それを暗語化します。なお、この場合、既存の鍵を事前に MasterKey_hex.txt ファイルに保存する必要があります。

Q：独自の鍵を使用する際、ローカルにどの情報を保管する必要がありますか？

A：鍵 ID（鍵の名称）と独自の鍵のプレーンテキストファイルをローカルに適切に保存する必要があります。これにより、特別な状況で鍵 ID に関連する情報と鍵のプレーンテキストを確認できます。

Q：独自の鍵をインポートまたは変更する場合、頻度の制限はありますか？

A：はい、各業務は毎月最大 10 回サードパーティ鍵を変更できます。また、各業務は 10 分ごとに 1 回のみサードパーティ鍵を変更できます。鍵の変更頻度が高いほど、データの安全性が向上するため、3 ヶ月に 1 回鍵を変更することを推奨します。

緊急に鍵を変更する必要がある場合、カスタマサポートにお問い合わせください。

Q：独自の鍵をインポートまたは変更する場合、鍵の数の制限はありますか？

A：いいえ、ありません。

Q：異なる時期にアップロードされた鍵はどのような違いがありますか？

A：同時に存在できるのは、「暗号化」機能を持つ鍵（1 つのみ）で、最後にインポートされた鍵です。この鍵は新しいデータの暗号化とこれらの新しいデータの復号に使用され、その他の過去の鍵は既に暗号化されたデータの復号に使用されます。

Q：アップロードされた独自の鍵に有効期限がありますか？

A：いいえ、ありません。アップロードされた独自の鍵は、暗号化されたデータの復号に常に使用されます。

Q：入力した鍵の名称と独自の鍵の暗号文が一致しない場合、どうなりますか？

A：入力した鍵の名称と独自の鍵の暗号文が一致しない場合、鍵をインポートできませんでした。確認してから、もう一度お試しくださいというメッセージが表示されます。