Azure Key Vault とはWhat is Azure Key Vault?

Azure Key Vault は、クラウド アプリケーションやサービスで使用される暗号化キーとシークレットをセキュリティで保護するために役立ちます。Azure Key Vault helps safeguard cryptographic keys and secrets used by cloud applications and services. Key Vault を使用すると、キーとシークレット (認証キー、ストレージ アカウント キー、データ暗号化キー、.PFX ファイル、パスワードなど) をハードウェア セキュリティ モジュール (HSM) で保護されたキーを使用して暗号化できます。By using Key Vault, you can encrypt keys and secrets (such as authentication keys, storage account keys, data encryption keys, .PFX files, and passwords) using keys protected by hardware security modules (HSMs). さらに安心感を高めたい場合には、HSM でキーのインポートや生成を行うことができます。For added assurance, you can import or generate keys in HSMs. その場合、FIPS 140-2 Level 2 適合の HSM (ハードウェアおよびファームウェア) でマイクロソフトがお客様のキーを処理します。If you choose to do this, Microsoft processes your keys in FIPS 140-2 Level 2 validated HSMs (hardware and firmware).

Key Vault は、キー管理プロセスを合理化し、データにアクセスして暗号化するキーの制御を維持できます。Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. 開発者は、開発やテスト用のキーを数分で作成し、それらをシームレスに実稼働キーに移行できます。Developers can create keys for development and testing in minutes, and then seamlessly migrate them to production keys. セキュリティ管理者は、必要に応じて、キーに権限を付与する (取り消す) ことができます。Security administrators can grant (and revoke) permission to keys, as needed.

次の表を使用して、Key Vault が開発者やセキュリティ管理者のニーズを満たすのに役立つ方法を十分に理解します。Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RoleRole 問題の説明Problem statement Azure Key Vault による解決Solved by Azure Key Vault
Azure アプリケーションの開発者Developer for an Azure application "署名と暗号化のキーを使用する Azure のアプリケーションを作成したいが、ソリューションが地理的に分散したアプリケーションに合うように、これらのキーをアプリケーションの外部に設定したい。“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

また、これらのキーとシークレットは、自分でコードを記述せずに保護したい。I also want these keys and secrets to be protected, without having to write the code myself. さらに、簡単にアプリケーションから最適なパフォーマンスで使用できるようにしたい。"I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ キーは、資格情報コンテナーに格納され、必要に応じて、URI によって呼び出されます。√ Keys are stored in a vault and invoked by URI when needed.

√ キーは、業界標準のアルゴリズム、キーの長さ、ハードウェア セキュリティ モジュール (HSM) を使用して、Azure によってセキュリティで保護されています。√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs).

√ キーは、アプリケーションと同じ Azure データセンターに存在する HSM で処理されます。√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. そのため、信頼性が向上し、オンプレミスの場所などの別の場所にキーが存在する場合より待機時間が削減されます。This provides better reliability and reduced latency than if the keys reside in a separate location, such as on-premises.
サービスとしてのソフトウェア (SaaS) の開発者Developer for Software as a Service (SaaS) "顧客のテナント キーやシークレットに対して義務や潜在的責任を負いたくない。“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

顧客はキーを自分で所有して管理してほしい。そうすることで、私は自分の専門分野である、中心的なソフトウェア機能を提供することに集中できる。"I want the customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ 顧客は Azure に自分のキーをインポートして管理できます。√ Customers can import their own keys into Azure, and manage them. SaaS アプリケーションが顧客のキーを使用して暗号化操作を実行する必要がある場合は、Key Vault がアプリケーションに代わって、これらの操作を行います。When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. アプリケーションには、顧客のキーは表示されません。The application does not see the customers’ keys.
最高セキュリティ責任者 (CSO)Chief security officer (CSO) "アプリケーションが、セキュリティで保護されたキー管理のために FIPS 140-2 レベル 2 HSM に準拠していることを確認したい。“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

組織が、キーのライフ サイクルを管理し、キーの使用状況を確実に監視できるようにしたい。I want to make sure that my organization is in control of the key life cycle and can monitor key usage.

複数の Azure サービスとリソースを使用しているが、Azure の 1 つの場所からキーを管理したい。"And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ HSM は、FIPS 140-2 レベル 2 で検証済みです。√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault は、マイクロソフトがキーを確認または抽出しないように作られています。√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ キーの使用状況のほぼリアルタイムのログ記録。√ Near real-time logging of key usage.

√ コンテナーは、Azure にあるコンテナーの数、サポートするリージョン、使用するアプリケーションに関係なく、1 つのインターフェイスを提供します。√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Azure サブスクリプションを持つユーザーはだれでも、Key Vault を作成して使用できます。Anybody with an Azure subscription can create and use key vaults. Key Vault は開発者とセキュリティ管理者にとってメリットがありますが、組織の他の Azure サービスを管理する組織の管理者がこれを実装し、管理できる可能性があります。Although Key Vault benefits developers and security administrators, it could be implemented and managed by an organization’s administrator who manages other Azure services for an organization. たとえば、この管理者は Azure のサブスクリプションを使用してサインインし、キーの保存先に組織の資格情報コンテナーを作成し、次のような運用タスクを担当します。For example, this administrator would sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • キーやシークレットの作成やインポートCreate or import a key or secret
  • キーやシークレットの取り消しや削除Revoke or delete a key or secret
  • ユーザーまたはアプリケーションに Key Vault へのアクセスを許可します。結果、ユーザーまたはアプリケーションはそのキーおよびシークレットを管理または使用できるようになります。Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • キーの使用状況の構成 (署名や暗号化など)Configure key usage (for example, sign or encrypt)
  • キーの使用状況の監視Monitor key usage

この管理者は、開発者にアプリケーションから呼び出す URI を提供し、セキュリティ管理者にキーの使用状況のログ情報を提供します。This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Azure Key Vault の概要

開発者は、API を使用してキーを直接管理することもできます。Developers can also manage the keys directly, by using APIs. 詳細については、「 Azure Key Vault 開発者ガイド」を参照してください。For more information, see the Key Vault developer's guide.

次の手順Next Steps

管理者用の概要チュートリアルについては、「 Azure Key Vault の概要」をご覧ください。For a getting started tutorial for an administrator, see Get Started with Azure Key Vault.

Key Vault の使用状況に関するログ記録の詳細については、「 Azure Key Vault のログ記録」を参照してください。For more information about usage logging for Key Vault, see Azure Key Vault Logging.

Azure Key Vault でキーとシークレットを使用する方法の詳細については、「About Keys, Secrets, and Certificates (キー、シークレット、証明書について)」を参照してください。For more information about using keys and secrets with Azure Key Vault, see About Keys, Secrets, and Certificates.

Azure Key Vault は、ほとんどのリージョンで使用できます。Azure Key Vault is available in most regions. 詳細については、 Key Vault の価格のページを参照してください。For more information, see the Key Vault pricing page.