Azure Key Vault Managed HSM とは

Azure Key Vault Managed HSM は、フル マネージド、高可用性、シングル テナント、標準準拠を特徴とするクラウド サービスで、FIPS 140-2 レベル 3 適合の HSM (ハードウェア セキュリティ モジュール) を使用してクラウド アプリケーションの暗号化キーを保護することができます。 価格情報については、Azure Key Vault の価格に関するページの「マネージド HSM プール」セクションを参照してください。

Managed HSM を使用する理由

フル マネージド、高可用性、シングル テナントのサービスとしての HSM

  • フル マネージド: HSM のプロビジョニング、構成、パッチ適用、メンテナンスはサービスによって管理されます。
  • 高可用性とゾーン回復性 (可用性ゾーンがサポートされる): 各 HSM クラスターは、少なくとも 2 つの可用性ゾーンにまたがって存在する複数の HSM パーティションから成ります。 ハードウェアに障害が発生すると、HSM クラスターのメンバー パーティションが自動的に正常なノードに移行されます。
  • シングルテナント: 各 Managed HSM インスタンスはお客様ごとに確保され、複数の HSM パーティションのクラスターから成ります。 各 HSM クラスターでは、個々のお客様を対象としたセキュリティ ドメインが使用され、お客様ごとに HSM クラスターが暗号的に分離されます。

アクセスの制御、強化されたデータ保護とコンプライアンス

  • キーの集中管理: 組織のいたるところにあるきわめて重要で価値の高いキーが一元管理されます。 粒度の細かいキーごとのアクセス許可により、各キーに対するアクセスが "最低特権アクセス" の原則で管理されます。
  • 分離されたアクセスの制御: Managed HSM の "ローカル RBAC" アクセス制御モデルにより、指定された HSM クラスタ アドミニストレーターには、HSM に対する完全な制御権が与えられます。その権限は、管理グループやサブスクリプション管理者、リソース グループ管理者でもオーバーライドできません。
  • プライベート エンドポイント: プライベート エンドポイントを使用して、仮想ネットワークで実行されているアプリケーションから Managed HSM に安全かつプライベートに接続します。
  • FIPS 140-2 レベル 3 適合の HSM: FIPS (Federal Information Protection Standard) 140-2 レベル 3 適合の HSM によってデータを保護し、コンプライアンス要件を満たすことができます。 Managed HSM には、Marvell LiquidSecurity の HSM アダプターが使用されます。
  • 監視と監査: Azure Monitor と完全に統合されます。 すべてのアクティビティの完全なログを Azure Monitor 経由で取得できます。 分析とアラートには Azure Log Analytics を使用できます。
  • データ所在地: マネージド HSM では、お客様が HSM インスタンスをデプロイするリージョンの外部で顧客データが格納または処理されることはありません。

Azure と Microsoft PaaS (または SaaS) サービスとの統合

Key Vault と同じ API と管理インターフェイスを使用する

  • 資格情報コンテナー (マルチテナント) を使用する既存のアプリケーションを、マネージド HSM を使用するアプリケーションに容易に移行できます。
  • 使用されているキー管理ソリューション (マルチテナントの資格情報コンテナーまたはシングル テナントのマネージド HSM) に関係なく、すべてのアプリケーションに同じアプリケーション開発およびデプロイ パターンを使用できます。

オンプレミスの HSM からキーをインポートする

  • HSM で保護されたキーをオンプレミス HSM で生成し、それらを Managed HSM に対して安全にインポートすることができます。

次のステップ