Azure Disk Encryption の概要Azure Disk Encryption overview

Azure Disk Encryption は、データを保護して、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. これは、Azure Virtual Machines (VM) の OS およびデータ ディスクのボリュームを暗号化するために、Windows の BitLocker 機能と Linux の DM-Crypt 機能を使用します。It uses the BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and data disks of Azure virtual machines (VMs). また、Azure Key Vault と統合されています。これにより、ディスク暗号化キーとシークレットを制御および管理するのが容易になり、Azure Storage で保存中の VM ディスクの全データが確実に暗号化されます。It is also integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets, and ensures that all data on the VM disks are encrypted at rest while in Azure storage. Windows および Linux VM 用の Azure Disk Encryption は、すべての Azure パブリック リージョンおよび Azure Government リージョンの Standard VM と Azure Premium Storage を使用する VM で一般に提供されています。Azure Disk Encryption for Windows and Linux VMs is in General Availability in all Azure public regions and Azure Government regions for Standard VMs and VMs with Azure Premium Storage.

Azure Security Center を使用している場合、暗号化されていない VM があると警告を受け取ります。If you use Azure Security Center, you're alerted if you have VMs that aren't encrypted. アラートは高重要度として表示され、このような VM は暗号化することをお勧めします。The alerts show as High Severity and the recommendation is to encrypt these VMs.

Azure Security Center のディスク暗号化アラート

注意

特定の推奨事項により、データ、ネットワーク、またはコンピューティング リソースの使用量が増え、その結果、ライセンスまたはサブスクリプション コストの追加が必要になる可能性があります。Certain recommendations might increase data, network, or compute resource usage and result in additional license or subscription costs.

暗号化のシナリオEncryption scenarios

Azure Disk Encryption では、業界標準の暗号化テクノロジを使用して保存中の Azure VM をセキュリティで保護することで、組織のセキュリティおよびコンプライアンス要件に対処できます。With Azure Disk Encryption, you can address organizational security and compliance requirements by securing your Azure VMs at rest using industry-standard encryption technology. また、お客様が管理するキーとポリシー (BYOK) に従って VM が起動するように構成し、Key Vault 内のこれらのキーの使用を監査することもできます。You can also configure VMs to boot under customer-controlled keys and policies (BYOK), and audit the usage of these keys in your key vault.

Azure Disk Encryption では、次の顧客シナリオがサポートされます。Azure Disk Encryption supports the following customer scenarios:

  • サポートされている Azure ギャラリー イメージから作成された新しい VM で暗号化を有効および無効にする。Enabling and disabling encryption on new VMs created from the supported Azure Gallery images.
  • Azure で実行されている既存の VM で暗号化を有効および無効にする。Enabling and disabling encryption on existing VMs that run in Azure.
  • 事前に暗号化した VHD と暗号化キーから作成された新しい Windows VM で暗号化を有効および無効にする。Enabling and disabling encryption on new Windows VMs created from pre-encrypted VHD and encryption keys.
  • Windows 仮想マシン スケール セットで暗号化を有効および無効にする。Enabling and disabling encryption on Windows virtual machine scale sets.
  • Linux 仮想マシン スケール セットのデータ ドライブで暗号化を有効および無効にする。Enabling and disabling encryption on data drives for Linux virtual machine scale sets.
  • マネージド ディスク VM の暗号化を有効および無効にする。Enabling and disabling encryption of managed disk VMs.
  • 既存の暗号化された Premium Storage VM および非 Premium Storage VM の暗号化設定を更新する。Updating encryption settings of an existing encrypted Premium and non-Premium Storage VM.
  • 暗号化された VM をバックアップおよび復元する。Backing up and restoring encrypted VMs.
  • お客様が独自の暗号化キーを使用し、それらを Azure Key Vault に保存する、独自の暗号化の使用 (BYOE) および独自のキーの使用 (BYOK) シナリオ。Bring your own encryption (BYOE) and bring your own key (BYOK) scenarios, in which the customers use their own encryption keys and store them in an Azure key vault.

また、Microsoft Azure で有効になっている場合、VM に関する次のシナリオがサポートされます。It also supports the following scenarios for VMs when they're enabled in Microsoft Azure:

  • Azure Key Vault との統合。Integration with Azure Key Vault.

  • 最小メモリ要件を満たす Standard レベルの VMStandard tier VMs that meet the minimum memory requirement.

  • サポートされている Azure ギャラリー イメージの Windows および Linux VM、マネージド ディスク、およびスケール セット VM で暗号化を有効にする。Enabling encryption on Windows and Linux VMs, managed disk, and scale set VMs from the supported Azure Gallery images.

  • Windows VM、スケール セット VM、およびマネージド ディスク VM の OS およびデータ ドライブで暗号化を無効にする。Disabling encryption on OS and data drives for Windows VMs, scale set VMs, and managed disk VMs.

  • Linux VM、スケール セット VM、およびマネージド ディスク VM のデータ ドライブで暗号化を無効にする。Disabling encryption on data drives for Linux VMs, scale set VMs, and managed disk VMs.

  • Windows クライアント OS を実行している VM で暗号化を有効にする。Enabling encryption on VMs that run the Windows Client OS.

  • ボリュームのマウント パスでの暗号化を有効にする。Enabling encryption on volumes with mount paths.

  • mdadm を使用してディスク ストライピング (RAID) が構成されている Linux VM で暗号化を有効にする。Enabling encryption on Linux VMs that are configured with disk striping (RAID) by using mdadm.

  • データ ディスクに LVM を使用している Linux VM で暗号化を有効にする。Enabling encryption on Linux VMs that use LVM for data disks.

  • Linux VM の OS ディスクとデータ ディスクで暗号化を有効にする。Enabling encryption on the Linux VM OS and data disks.

    注意

    一部の Linux ディストリビューションでは、OS ドライブの暗号化はサポートされていません。OS drive encryption for some Linux distributions isn't supported. 詳しくは、Azure Disk Encryption でサポートされるオペレーティング システム:Linux に関するページをご覧ください。For more information, see the Azure Disk Encryption supported operating systems: Linux.

  • Windows Server 2016 以降の Windows 記憶域スペースを使用して構成されている VM で暗号化を有効にする。Enabling encryption on VMs that are configured with Windows Storage Spaces beginning in Windows Server 2016. 記憶域スペースダイレクト (S2D) はまだサポートされていません。Storage Spaces Direct (S2D) isn't supported yet.

  • キー暗号化キー (KEK) シナリオと非 KEK シナリオの両方で暗号化された VM をバックアップおよび復元する。Back up and restoration of encrypted VMs for both key encryption key (KEK) and non-KEK scenarios.

Azure Disk Encryption は、次のシナリオ、機能、およびテクノロジには対応していません。Azure Disk Encryption does not work for the following scenarios, features, and technology:

  • Basic レベルの VM または従来の VM の作成方法を使用して作成された VM を暗号化する。Encrypting basic tier VM or VMs created through the classic VM creation method.
  • OS ドライブが暗号化されている場合に Linux VM の OS ドライブまたはデータ ドライブで暗号化を無効にする。Disabling encryption on an OS drive or data drive of a Linux VM when the OS drive is encrypted.
  • Linux 仮想マシン スケール セットの OS ドライブを暗号化する。Encrypting OS drive for Linux virtual machine scale sets.
  • ソフトウェア ベースの RAID システムを使用して構成されている Windows VM を暗号化する。Encrypting Windows VMs configured with software-based RAID systems.
  • Linux VM のカスタム イメージを暗号化する。Encrypting custom images on Linux VMs.
  • オンプレミスのキー管理システムとの統合。Integration with an on-premises key management system.
  • Azure Files (共有ファイル システム)。Azure Files (shared file system).
  • ネットワーク ファイル システム (NFS)。Network File System (NFS).
  • 動的ボリューム。Dynamic volumes.
  • Windows Server コンテナー。これにより、コンテナーごとに動的ボリュームが作成されます。Windows Server containers, which create dynamic volumes for each container.
  • エフェメラル OS ディスク。Ephemeral OS disks.
  • 次のもの (ただし、限定されない) の共有/分散ファイル システムの暗号化:DFS、GFS、DRDB、CephFS などEncryption of shared/distributed file systems like (but not limited to): DFS, GFS, DRDB, CephFS, etc

暗号化機能Encryption features

Azure VM の Azure Disk Encryption を有効にしてデプロイすると、次の機能が有効になるように構成できます。When you enable and deploy Azure Disk Encryption for Azure VMs, you can configure the following capabilities to be enabled:

  • ストレージに保存中のブート ボリュームを保護するために OS ボリュームを暗号化する。Encrypting the OS volume to protect the boot volume at rest in your storage.
  • ストレージに保存中のデータ ボリュームを保護するためにデータ ボリュームを暗号化する。Encrypting data volumes to protect the data volumes at rest in your storage.
  • Windows VM の OS ドライブおよびデータ ドライブで暗号化を無効にする。Disabling encryption on the OS and data drives for Windows VMs.
  • Linux VM のデータ ドライブで暗号化を無効にする (OS ドライブが暗号化されていない場合のみ)。Disabling encryption on the data drives for Linux VMs (only when the OS drive isn't encrypted).
  • Azure Key Vault サブスクリプションの暗号化キーとシークレットを保護する。Safeguarding the encryption keys and secrets in your Azure Key Vault subscription.
  • 暗号化された VM の暗号化状態をレポートする。Reporting the encryption status of the encrypted VM.
  • VM からディスク暗号化構成設定を削除する。Removing the disk encryption configuration settings from the VM.
  • Azure Backup サービスを使用して、暗号化された VM をバックアップおよび復元する。Backing up and restoring the encrypted VMs by using the Azure Backup service.

Windows および Linux 用の VM の Azure Disk Encryption には以下が含まれます。Azure Disk Encryption for VMs for Windows and Linux includes:

注意

Azure Disk Encryption による VM ディスクの暗号化による追加料金は発生しません。There's no additional charge to encrypt VM disks with Azure Disk Encryption. 暗号化キーの格納に使用するキー コンテナーには標準の Key Vault 価格が適用されます。Standard Key Vault pricing applies to the key vault that's used to store the encryption keys.

暗号化のワークフローEncryption workflow

Windows および Linux VM のディスク暗号化を有効にするには、次の手順を実行します。To enable disk encryption for Windows and Linux VMs, do the following steps:

  1. Azure Disk Encryption Resource Manager テンプレート、PowerShell コマンドレット、または Azure CLI を使用してディスク暗号化を有効にすることを選択し、暗号化の構成を指定します。Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • お客様が暗号化した VHD の場合は、暗号化した VHD をストレージ アカウントにアップロードし、暗号化キー マテリアルを Key Vault にアップロードします。For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. その後、暗号化構成を指定して新しい VM での暗号化を有効にします。Then, provide the encryption configuration to enable encryption on a new VM.
    • サポートされているギャラリー イメージから作成された新しい VM と、Azure で既に実行されている既存の VM については、VM での暗号化を有効にするための暗号化構成を指定します。For new VMs that are created from supported gallery images, and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  2. 暗号化キー マテリアル (Windows システムの場合は BitLocker 暗号化キー、Linux の場合はパスフレーズ) を Key Vault から読み取るためのアクセス権を Azure プラットフォームに付与し、VM での暗号化を有効にします。Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  3. Azure は、暗号化と Key Vault の構成を使用して VM サービス モデルを更新し、暗号化された VM をセットアップします。Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

    Azure での Microsoft マルウェア対策

暗号化解除のワークフローDecryption workflow

VM のディスク暗号化を無効にするには、次の手順概要に従います。To disable disk encryption for VMs, complete the following high-level steps:

  1. Azure で実行中の VM に対して暗号化を無効に (解除) するよう選択し、暗号化解除の構成を指定します。Choose to disable encryption (decryption) on a running VM in Azure and specify the decryption configuration. Azure Disk Encryption Resource Manager テンプレート、PowerShell コマンドレット、または Azure CLI を使用して無効にすることができます。You can disable via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI.

    この手順によって、Windows VM で実行されている OS またはデータ ボリューム、もしくはその両方の暗号化が無効になります。This step disables encryption of the OS or the data volume or both on the running Windows VM. 前のセクションで述べたように、Linux で OS ディスクの暗号化を無効にすることはサポートされていません。As mentioned in the previous section, disabling OS disk encryption for Linux isn't supported. OS ディスクが暗号化されていない限り、暗号化解除の手順は、Linux VM のデータ ドライブでのみ許可されます。The decryption step is allowed only for data drives on Linux VMs as long as the OS disk isn't encrypted.

  2. Azure によって VM サービス モデルが更新され、VM は暗号化解除済みとしてマークされます。Azure updates the VM service model and the VM is marked as decrypted. VM の内容は保存時に暗号化されなくなります。The contents of the VM are no longer encrypted at rest.

    注意

    暗号化を無効にしても、Key Vault や暗号化キー マテリアル (Windows システムの場合は BitLocker 暗号化キー、Linux の場合はパスフレーズ) は削除されません。The disable encryption operation doesn't delete your key vault and the encryption key material (BitLocker encryption keys for Windows systems or Passphrase for Linux).

    Linux 用の OS ディスク暗号化の無効化は、サポートされていません。Disabling OS disk encryption for Linux isn't supported. 暗号化解除の手順は、Linux VM のデータ ドライブでのみ許可されます。The decryption step is allowed only for data drives on Linux VMs.

    OS ドライブが暗号化されている場合、Linux のデータ ディスクの暗号化を無効にする機能はサポートされていません。Disabling data disk encryption for Linux isn't supported if the OS drive is encrypted.

暗号化のワークフロー (以前のリリース)Encryption workflow (previous release)

Azure Disk Encryption の新しいリリースでは、VM ディスク暗号化を有効にするために Azure Active Directory (Azure AD) アプリケーション パラメーターを指定する必要はありません。The new release of Azure Disk Encryption eliminates the requirement to provide an Azure Active Directory (Azure AD) application parameter to enable VM disk encryption. 新しいリリースでは、暗号化を有効にする手順の途中で、Azure AD の資格情報を指定する必要がなくなりました。With the new release, you're no longer required to provide an Azure AD credential during the enable encryption step. すべての新しい VM は、新しいリリースを使用して、Azure AD アプリケーション パラメーターを指定せずに暗号化する必要があります。All new VMs must be encrypted without the Azure AD application parameters when you use the new release. Azure AD アプリケーション パラメーターで既に暗号化された VM はまだサポートされていますが、Azure AD の構文を使用して保持し続ける必要があります。VMs that were already encrypted with Azure AD application parameters are still supported and should continue to be maintained with the Azure AD syntax. Windows および Linux VM のディスク暗号化 (以前のリリース) を有効にするには、次の手順に従います。To enable disk encryption for Windows and Linux VMs (previous release), do the following steps:

  1. 暗号化のシナリオ」セクションに列記されているシナリオから、暗号化のシナリオを選択します。Choose an encryption scenario from the scenarios listed in the Encryption scenarios section.

  2. Azure Disk Encryption Resource Manager テンプレート、PowerShell コマンドレット、または Azure CLI を使用してディスク暗号化を有効にすることを選択し、暗号化の構成を指定します。Opt in to enable disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or the Azure CLI, and specify the encryption configuration.

    • お客様が暗号化した VHD の場合は、暗号化した VHD をストレージ アカウントにアップロードし、暗号化キー マテリアルを Key Vault にアップロードします。For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. その後、暗号化構成を指定して新しい VM での暗号化を有効にします。Then, provide the encryption configuration to enable encryption on a new VM.
    • Marketplace から作成された新しい VM と、Azure で既に実行されている既存の VM については、VM での暗号化を有効にするための暗号化構成を指定します。For new VMs that are created from the Marketplace and existing VMs that already run in Azure, provide the encryption configuration to enable encryption on the VM.
  3. 暗号化キー マテリアル (Windows システムの場合は BitLocker 暗号化キー、Linux の場合はパスフレーズ) を Key Vault から読み取るためのアクセス権を Azure プラットフォームに付与し、VM での暗号化を有効にします。Grant access to the Azure platform to read the encryption key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the VM.

  4. Key Vault に暗号化キー マテリアルを書き込むための Azure AD アプリケーション ID を指定します。Provide the Azure AD application identity to write the encryption key material to your key vault. この手順によって、手順 2 で述べたシナリオについて、VM での暗号化が有効になります。This step enables encryption on the VM for the scenarios mentioned in step 2.

  5. Azure は、暗号化と Key Vault の構成を使用して VM サービス モデルを更新し、暗号化された VM をセットアップします。Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

用語集Terminology

次の表では、Azure Disk Encryption のドキュメントで使用される一般的な用語の一部を定義します。The following table defines some of the common terms used in Azure disk encryption documentation:

用語集Terminology 定義Definition
Azure ADAzure AD Azure AD アカウントは、Key Vault のシークレットの認証、格納、および取得を行うために使用されます。An Azure AD account is used to authenticate, store, and retrieve secrets from a key vault.
Azure Key VaultAzure Key Vault Key Vault は、Federal Information Processing Standards (FIPS) に照らして検証されたハードウェア セキュリティ モジュールに基づく、暗号化キー管理サービスです。Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS) validated hardware security modules. これらの標準は、暗号化キーと機密性の高いシークレットを保護するために役立ちます。These standards help to safeguard your cryptographic keys and sensitive secrets. 詳しくは、Azure Key Vault のドキュメントをご覧ください。For more information, see the Azure Key Vault documentation.
BitLockerBitLocker BitLocker は、Windows VM でディスク暗号化を有効にするために使用される、業界で認められた Windows ボリューム暗号化テクノロジです。BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows VMs.
BEKBEK BitLocker 暗号化キー (BEK) は、OS ブート ボリュームとデータ ボリュームの暗号化に使用されます。BitLocker encryption keys (BEK) are used to encrypt the OS boot volume and data volumes. BEK は、Key Vault でシークレットとして保護されます。BEKs are safeguarded in a key vault as secrets.
Azure CLIAzure CLI Azure CLI は、コマンド ラインから Azure リソースを管理できるように最適化されています。The Azure CLI is optimized for managing and administering Azure resources from the command line.
DM-CryptDM-Crypt DM-Crypt は、Linux VM でディスク暗号化を有効にするために使用される Linux ベースの透過的なディスク暗号化サブシステムです。DM-Crypt is the Linux-based, transparent disk-encryption subsystem that's used to enable disk encryption on Linux VMs.
キー暗号化キー (KEK)Key encryption key (KEK) シークレットを保護またはラップするために使用できる非対称キー (RSA 2048) です。The asymmetric key (RSA 2048) that you can use to protect or wrap the secret. ハードウェア セキュリティ モジュール (HSM) で保護されたキーまたはソフトウェアで保護されたキーを指定できます。You can provide a hardware security module (HSM)-protected key or software-protected key. 詳しくは、Azure Key Vault のドキュメントをご覧ください。For more information, see the Azure Key Vault documentation.
PowerShell コマンドレットPowerShell cmdlets 詳しくは、Azure PowerShell コマンドレットに関するページをご覧ください。For more information, see Azure PowerShell cmdlets.

次の手順Next steps

最初に「Azure Disk Encryption の前提条件」をご覧ください。To get started, see the Azure Disk Encryption prerequisites.