Azure Key Vault とは

Azure Key Vault は、ほとんどのリージョンで使用できます。 詳細については、 Key Vault の価格のページを参照してください。

はじめに

Azure Key Vault は、クラウド アプリケーションやサービスで使用される暗号化キーとシークレットをセキュリティで保護するために役立ちます。 Key Vault を使用すると、キーとシークレット (認証キー、ストレージ アカウント キー、データ暗号化キー、PFX ファイル、パスワードなど) をハードウェア セキュリティ モジュール (HSM) で保護されたキーを使用して暗号化できます。 さらに安心感を高めたい場合には、HSM でキーのインポートや生成を行うことができます。 その場合、FIPS 140-2 Level 2 適合の HSM (ハードウェアおよびファームウェア) でマイクロソフトがお客様のキーを処理します。

Key Vault は、キー管理プロセスを合理化し、データにアクセスして暗号化するキーの制御を維持できます。 開発者は、開発やテスト用のキーを数分で作成し、それらをシームレスに実稼働キーに移行できます。 セキュリティ管理者は、必要に応じて、キーに権限を付与する (取り消す) ことができます。

次の表を使用して、Key Vault が開発者やセキュリティ管理者のニーズを満たすのに役立つ方法を十分に理解します。

役割 問題の説明 Azure Key Vault による解決
Azure アプリケーションの開発者 "署名と暗号化のキーを使用する Azure のアプリケーションを作成したいが、ソリューションが地理的に分散したアプリケーションに合うように、これらのキーをアプリケーションの外部に設定したい。

また、これらのキーとシークレットは、自分でコードを記述せずに保護したい。 さらに、簡単にアプリケーションから最適なパフォーマンスで使用できるようにしたい。"
√ キーは、資格情報コンテナーに格納され、必要に応じて、URI によって呼び出されます。

√ キーは、業界標準のアルゴリズム、キーの長さ、ハードウェア セキュリティ モジュール (HSM) を使用して、Azure によってセキュリティで保護されています。

√ キーは、アプリケーションと同じ Azure データセンターに存在する HSM で処理されます。 そのため、信頼性が向上し、オンプレミスの場所などの別の場所にキーが存在する場合より待機時間が削減されます。
サービスとしてのソフトウェア (SaaS) の開発者 "顧客のテナント キーやシークレットに対して義務や潜在的責任を負いたくない。

顧客はキーを自分で所有して管理してほしい。そうすることで、私は自分の専門分野である、中心的なソフトウェア機能を提供することに集中できる。"
√ 顧客は Azure に自分のキーをインポートして管理できます。 SaaS アプリケーションが顧客のキーを使用して暗号化操作を実行する必要がある場合は、Key Vault がアプリケーションに代わって、これらの操作を行います。 アプリケーションには、顧客のキーは表示されません。
最高セキュリティ責任者 (CSO) "アプリケーションが、セキュリティで保護されたキー管理のために FIPS 140-2 レベル 2 HSM に準拠していることを確認したい。

組織が、キーのライフ サイクルを管理し、キーの使用状況を確実に監視できるようにしたい。

複数の Azure サービスとリソースを使用しているが、Azure の 1 つの場所からキーを管理したい。"
√ HSM は、FIPS 140-2 レベル 2 で検証済みです。

√ Key Vault は、マイクロソフトがキーを確認または抽出しないように作られています。

√ キーの使用状況のほぼリアルタイムのログ記録。

√ コンテナーは、Azure にあるコンテナーの数、サポートするリージョン、使用するアプリケーションに関係なく、1 つのインターフェイスを提供します。

Azure サブスクリプションを持つユーザーはだれでも、Key Vault を作成して使用できます。 Key Vault は開発者とセキュリティ管理者にとってメリットがありますが、組織の他の Azure サービスを管理する組織の管理者がこれを実装し、管理できる可能性があります。 たとえば、この管理者は Azure のサブスクリプションを使用してサインインし、キーの保存先に組織の資格情報コンテナーを作成し、次のような運用タスクを担当します。

  • キーやシークレットの作成やインポート
  • キーやシークレットの取り消しや削除
  • ユーザーまたはアプリケーションに Key Vault へのアクセスを許可します。結果、ユーザーまたはアプリケーションはそのキーおよびシークレットを管理または使用できるようになります。
  • キーの使用状況の構成 (署名や暗号化など)
  • キーの使用状況の監視

この管理者は、開発者にアプリケーションから呼び出す URI を提供し、セキュリティ管理者にキーの使用状況のログ情報を提供します。

Azure Key Vault の概要

開発者は、API を使用してキーを直接管理することもできます。 詳細については、「 Azure Key Vault 開発者ガイド」を参照してください。

次のステップ

管理者用の概要チュートリアルについては、「 Azure Key Vault の概要」をご覧ください。

Key Vault の使用状況に関するログ記録の詳細については、「 Azure Key Vault のログ記録」を参照してください。

Azure Key Vault でキーとシークレットを使用する方法の詳細については、「About Keys, Secrets, and Certificates (キー、シークレット、証明書について)」を参照してください。