Share via

Azure でのキー管理

  • [アーティクル]

Note

ゼロ トラストは、"明示的に検証する"、"最小限の特権アクセスを使用する"、"侵害を想定する" の 3 つの原則で構成されるセキュリティ戦略です。 キー管理を含むデータ保護では、"最小限の特権アクセスを使用する" 原則がサポートされています。 詳細については、「ゼロ トラストとは」を参照してください。

Azure では、暗号化キーはプラットフォームで管理するか、お客様が管理することができます。

プラットフォーム マネージド キー (PMK) は、Azure によって完全に生成、保存、管理される暗号化キーです。 お客様は PMK を操作しません。 たとえば、 Azure Data Encryption-at-Rest に使用されるキーは、既定で PMK です。

一方、カスタマー マネージド キー (CMK) は、1 人以上のユーザーによって読み取り、作成、削除、更新が行われるキーです。 お客様所有のキー コンテナーまたはハードウェア セキュリティ モジュール (HSM) に保存されているキーは CMK です。 Bring Your Own Key (BYOK) は、お客様が外部のストレージの場所から Azure キー管理サービスにキーをインポートする (取り込む) CMK シナリオです (「Azure Key Vault: Bring Your Own Key の仕様」を参照してください)。

カスタマー マネージド キーの中で特別な種類なのが、"キー暗号化キー" (KEK) です。 KEK は、主キーであり、それ自体が暗号化されている 1 つ以上の暗号化キーへのアクセスを制御します。

カスタマー マネージド キーは、オンプレミスに保存するか、またはより一般的なクラウド キー管理サービスに保存できます。

Azure キー管理サービス

Azure にはクラウドにキーを保存して管理するためのオプションがいくつか用意されていて、Azure Key Vault、Azure Managed HSM、Azure Dedicated HSM、Azure Payment HSM などが含まれます。 これらのオプションは、FIPS コンプライアンス レベル、管理オーバーヘッド、および目的のアプリケーションの点で異なります。

各キー管理サービスの概要と、自分によって最適なキー管理ソリューションを選択するための包括的なガイドについては、「最適なキー管理ソリューションを選択する方法」を参照してください。

料金

Azure Key Vault Standard および Premium レベルはトランザクション ベースで課金され、Premium ハードウェアベースのキーに対してキーごとの追加の月額料金も課金されます。 Managed HSM、Dedicated HSM、Payments HSM はトランザクション ベースでは課金されません。代わりに、これらは固定の時間単位料金で課金される常時使用デバイスになります。 価格の詳細については、Key Vault の価格Dedicated HSM の価格Payment HSM の価格についてのページを参照してください。

サービスの制限

Managed HSM、Dedicated HSM、Payments HSM では、専用の容量が提供されます。 Key Vault Standard と Premium は、マルチテナント オファリングであり、スロットリングの制限があります。 サービスの制限については、「Key Vault サービスの制限」を参照してください。

保存時の暗号化

Azure Key Vault および Azure Key Vault Managed HSM には、カスタマー マネージド キーのための Azure Services および Microsoft 365 との統合があります。つまり、お客様は、これらのサービスに保存されているデータの保存時の暗号化のために、Azure Key Vault および Azure Key Managed HSM で独自のキーを使用できます。 Dedicated HSM および Payments HSM はサービスとしてのインフラストラクチャ オファリングであり、Azure サービスとの統合を提供しません。 Azure Key Vault および Managed HSM での保存時の暗号化の概要については、「保存時の Azure データの暗号化」を参照してください。

API

Dedicated HSM および Payments HSM では PKCS#11、JCE/JCA、KSP/CNG API がサポートされますが、Azure Key Vault および Managed HSM ではこれらはサポートされません。 Azure Key Vault および Managed HSM は、Azure Key Vault REST API を使用し、SDK をサポートしています。 Azure Key Vault API の詳細については、「Azure Key Vault REST API リファレンス」参照してください。

参照トピック