Azure Storage Service Encryption for Data at RestAzure Storage Service Encryption for data at rest

Azure Storage Service Encryption for Data at Rest を使用すると、データを保護し、組織のセキュリティとコンプライアンスの要件を満たすことができます。Azure Storage Service Encryption for data at rest helps you protect your data to meet your organizational security and compliance commitments. この機能を使用すると、Azure Storage プラットフォームではデータが Azure Managed Disks、Azure Blob、Queue、Table Storage、または Azure Files に保存される前に自動的に暗号化され、データが取得される前に暗号化が解除されます。With this feature, the Azure storage platform automatically encrypts your data before persisting it to Azure Managed Disks, Azure Blob, Queue, or Table storage, or Azure Files, and decrypts the data before retrieval. Storage Service Encryption での暗号化、保存時の暗号化、キー管理の処理は、ユーザーにとって透過的に行われます。The handling of encryption, encryption at rest, decryption, and key management in Storage Service Encryption is transparent to users. Azure Storage プラットフォームに書き込まれるすべてのデータは、現在利用できるブロック暗号化の中でも最強レベルの 256 ビット AES 暗号化によって暗号化されます。All data written to the Azure storage platform is encrypted through 256-bit AES encryption, one of the strongest block ciphers available.

Storage Service Encryption は新しいストレージ アカウントと既存のストレージ アカウントすべてに対して有効化され、無効にすることはできません。Storage Service Encryption is enabled for all new and existing storage accounts and cannot be disabled. データは既定で保護されるので、Storage Service Encryption を活用するために、コードまたはアプリケーションを変更する必要はありません。Because your data is secured by default, you don't need to modify your code or applications to take advantage of Storage Service Encryption.

この機能により次のデータが自動的に暗号化されます。The feature automatically encrypts data in:

  • Azure Storage サービス:Azure storage services:
    • Azure Managed DisksAzure Managed Disks
    • Azure BLOB ストレージAzure Blob storage
    • Azure FilesAzure Files
    • Azure Queue StorageAzure Queue storage
    • Azure Table Storage。Azure Table storage.
  • パフォーマンス レベル (Standard と Premium の両方)。Both performance tiers (Standard and Premium).
  • デプロイメント モデル (Azure Resource Manager とクラシックの両方)。Both deployment models (Azure Resource Manager and classic).

Storage Service Encryption は、Azure Storage サービスのパフォーマンスには影響しません。Storage Service Encryption does not affect the performance of Azure storage services.

Storage Service Encryption には Microsoft が管理する暗号化キーのほか、ユーザー独自の暗号化キーを使うことができます。You can use Microsoft-managed encryption keys with Storage Service Encryption, or you can use your own encryption keys. 独自のキーを使用する方法について詳しくは、「ユーザーが管理する Azure Key Vault キーを Storage Service Encryption に使用する」をご覧ください。For more information about using your own keys, see Storage Service Encryption using customer-managed keys in Azure Key Vault.

暗号化設定を Azure ポータルに表示するView encryption settings in the Azure portal

Storage Service Encryption の設定を表示するには、Azure Portal にログインしてストレージ アカウントを選択します。To view settings for Storage Service Encryption, sign in to the Azure portal and select a storage account. [設定] ウィンドウで [暗号化] 設定を選択します。In the SETTINGS pane, select the Encryption setting.

暗号化設定が表示されたポータルのスクリーンショット

Storage Service Encryption のよくあるご質問FAQ for Storage Service Encryption

Resource Manager ストレージ アカウントのデータはどのように暗号化すればよいですか?How do I encrypt the data in a Resource Manager storage account?
Storage Service Encryption は、すべてのストレージ アカウント (クラシックと Resource Manager) に対して有効になります。暗号化が有効になる前に作成されたストレージ アカウント内の既存のファイルは、バックグラウンド暗号化プロセスによってさかのぼって暗号化されます。Storage Service Encryption is enabled for all storage accounts--classic and Resource Manager, any existing files in the storage account created before encryption was enabled will retroactively get encrypted by a background encryption process.

Storage Service Encryption は、ストレージ アカウントを作成すると、既定で有効になりますか?Is Storage Service Encryption enabled by default when I create a storage account?
はい。Storage Service Encryption は、すべてのストレージ アカウントとすべての Microsoft Azure Storage サービスに対して有効です。Yes, Storage Service Encryption is enabled for all storage accounts and for all Azure storage services.

Resource Manager ストレージ アカウントがあります。これに対して Storage Service Encryption を有効にできますか?I have a Resource Manager storage account. Can I enable Storage Service Encryption on it?
Storage Service Encryption は、既定で既存のすべての Resource Manager ストレージ アカウントで有効になります。Storage Service Encryption is enabled by default on all existing Resource Manager storage accounts. これは Azure Blob Storage、Azure Files、AzureQueue Storage、Table Storage でサポートされています。This is supported for Azure Blob storage, Azure Files, Azure Queue storage, Table storage.

ストレージ アカウントで暗号化を無効にできますか?Can I disable encryption on my storage account?
暗号化は既定で有効になっており、ストレージ アカウントの暗号化を無効にするプロビジョニングはありません。Encryption is enabled by default, and there is no provision to disable encryption for your storage account.

Storage Service Encryption を有効にすると、Azure Storage の料金はどれくらい増えますか?How much more does Azure Storage cost if Storage Service Encryption is enabled?
追加コストはかかりません。There is no additional cost.

独自の暗号化キーを使用できますか?Can I use my own encryption keys?
はい、Azure Blob Storage と Azure Files では、独自の暗号化キーを使用できます。For Azure Blob storage and Azure Files, yes, you can use your own encryption keys. 現在、ユーザーが管理するキーは Azure Managed Disks ではサポートされていません。Customer-managed keys are not currently supported by Azure Managed Disks. 詳細については、「ユーザーが管理する Azure Key Vault キーを Storage Service Encryption に使用する」を参照してください。For more information, see Storage Service Encryption using customer-managed keys in Azure Key Vault.

暗号化キーへのアクセスを取り消すことはできますか?Can I revoke access to the encryption keys?
はい。Azure Key Vault で独自の暗号化キーを使用している場合は、取り消すことができます。Yes, if you use your own encryption keys in Azure Key Vault.

Storage Service Encryption と Azure Disk Encryption の違いを教えてください。How is Storage Service Encryption different from Azure Disk Encryption?
Azure Disk Encryption は、BitLocker、DM-Crypt、Azure KeyVault などの OS ベースのソリューション間に統合を提供します。Azure Disk Encryption provides integration between OS-based solutions like BitLocker and DM-Crypt and Azure KeyVault. Storage Service Encryption は、Azure Storage プラットフォーム レイヤーの仮想マシンの以下にネイティブで暗号化を提供します。Storage Service Encryption provides encryption natively at the Azure storage platform layer, below the virtual machine.

クラシック ストレージ アカウントがあります。これに対して Storage Service Encryption を有効にできますか?I have a classic storage account. Can I enable Storage Service Encryption on it?
Storage Service Encryption は、すべてのストレージ アカウント (クラシックと Resource Manager) に対して有効になります。Storage Service Encryption is enabled for all storage accounts (classic and Resource Manager).

クラシック ストレージ アカウントのデータを暗号化するにはどうすればよいですか?How can I encrypt data in my classic storage account?
既定で有効にされている暗号化を使用して、Azure Storage サービスに保存されているすべてのデータは自動的に暗号化されます。With encryption enabled by default, any data stored in Azure storage services is automatically encrypted.

Azure PowerShell および Azure CLI を使用して、Storage Service Encryption を有効にしたストレージ アカウントを作成できますか?Can I create storage accounts with Storage Service Encryption enabled by using Azure PowerShell and Azure CLI?
Storage Service Encryption は、既定でストレージ アカウント (クラシックまたは Resource Manager) の作成時に有効にされます。Storage Service Encryption is enabled by default at the time of creating any storage account (classic or Resource Manager). Azure PowerShell と Azure CLI の両方を使用して、アカウントのプロパティを確認できます。You can verify account properties by using both Azure PowerShell and Azure CLI.

ストレージ アカウントを、geo 冗長レプリケートされるように設定してあります。Storage Service Encryption では、冗長コピーも暗号化されますか?My storage account is set up to be replicated geo-redundantly. With Storage Service Encryption, will my redundant copy also be encrypted?
はい。ストレージ アカウントのすべてのコピーが暗号化されます。Yes, all copies of the storage account are encrypted. すべての冗長コピー (ローカル冗長ストレージ、ゾーン冗長ストレージ、geo 冗長ストレージ、読み取りアクセス geo 冗長ストレージ) がサポートされます。All redundancy options are supported--locally redundant storage, zone-redundant storage, geo-redundant storage, and read-access geo-redundant storage.

Storage Service Encryption は、特定のリージョンだけで許可されますか?Is Storage Service Encryption permitted only in specific regions?
すべてのリージョンで Storage Service Encryption を使用できます。Storage Service Encryption is available in all regions.

Storage Service Encryption は FIPS 140-2 に準拠していますか?Is Storage Service Encryption FIPS 140-2 compliant?
はい。Storage Service Encryption は FIPS 140-2 に準拠しています。Yes, Storage Service Encryption is FIPS 140-2 compliant.

問題やフィードバックの連絡先はどこですか?How do I contact someone if I have any problems or want to provide feedback?
Storage Service Encryption に関する問題またはフィードバックは、ssediscussions@microsoft.com にご連絡ください。Contact ssediscussions@microsoft.com for any problems or feedback related to Storage Service Encryption.

次の手順Next steps

Azure Storage で提供される包括的なセキュリティ機能のセットを利用して、開発者はセキュリティで保護されたアプリケーションを構築できます。Azure Storage provides a comprehensive set of security capabilities that together help developers build secure applications. 詳しくは、「Azure Storage セキュリティ ガイド」をご覧ください。For more information, see the Storage security guide.