二重暗号化

二重暗号化では、どれか 1 つの暗号化レイヤーが侵害されてもデータが保護されるよう、2 つ以上の独立した暗号化レイヤーを有効にします。 2 つの暗号化レイヤーを使用すると、データの暗号化に伴う脅威が軽減されます。 次に例を示します。

• データ暗号化の構成エラー
• 暗号化アルゴリズムの実装エラー
• 1 つの暗号化キーの侵害

Azure では、保存データと転送中のデータの二重暗号化が提供されます。

保存データ

保存データに対して 2 つの暗号化レイヤーを有効にするための Microsoft のアプローチは次のとおりです。

• カスタマー マネージド キーを使用した保存データの暗号化。 保存データの暗号化用の独自のキーを用意します。 独自のキーを Key Vault に使用する (BYOK - Bring Your Own Key) か、Azure Key Vault で新しいキーを生成して目的のリソースを暗号化することができます。
• プラットフォーム マネージド キーを使用したインフラストラクチャの暗号化。 既定では、プラットフォームが管理する暗号化キーを使用して、保存データが自動的に暗号化されます。

転送中のデータ

転送中のデータに対して 2 つの暗号化レイヤーを有効にするための Microsoft のアプローチは次のとおりです。

• トランスポート層セキュリティ (TLS) 1.2 を使用したトランジット暗号化によって、クラウド サービスとお客様の間でデータが送受信されるときにデータを保護します。 データセンターから発信されたすべてのトラフィックは、同じリージョン内の別のドメイン コントローラーがトラフィックの宛先である場合も含め、転送中に暗号化されます。 TLS 1.2 は、使用される既定のセキュリティ プロトコルです。 TLS には、強力な認証、メッセージの機密性、整合性 (メッセージの改ざん、傍受、偽造の検出が有効)、相互運用性、アルゴリズムの柔軟性、デプロイと使用のしやすさといったメリットがあります。
• インフラストラクチャ レイヤーで提供される追加の暗号化レイヤー。 Azure のお客様のトラフィックが、Microsoft または Microsoft の代理によって制御されない物理的境界の外で、データセンター間を移動するときは常に、基礎となるネットワーク ハードウェアから IEEE 802.1AE MAC Security Standards (別名 MACsec) を使用したデータリンク層の暗号化が適用されます。 パケットは送信前にデバイス上で暗号化され、復号され、物理的な "中間者" 攻撃、スヌーピング攻撃、盗聴攻撃を防ぎます。 このテクノロジはネットワーク ハードウェア自体に統合されているため、測定可能なリンクの待機時間を増やすことなく、ネットワーク ハードウェア上でライン レート暗号化を提供します。 この MACsec 暗号化は、リージョン内またはリージョン間を移動するすべての Azure トラフィックに対して、既定でオンになります。お客様側で必要な操作はありません。

次のステップ

Azure で暗号化を使用する方法について説明します。