保存データに対する Azure Storage 暗号化Azure Storage encryption for data at rest

Azure Storage では、データはクラウドに永続化されるときに自動的に暗号化されます。Azure Storage automatically encrypts your data when persisting it to the cloud. 暗号化によってデータは保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。Encryption protects your data and to help you to meet your organizational security and compliance commitments. Azure Storage 内のデータは、利用可能な最強のブロック暗号の 1 つである 256 ビット AES 暗号化を使って透過的に暗号化および暗号化解除され、FIPS 140-2 に準拠しています。Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Azure Storage 暗号化は、Windows での BitLocker 暗号化に似ています。Azure Storage encryption is similar to BitLocker encryption on Windows.

Azure Storage 暗号化は、新規と既存のすべてのストレージ アカウントに対して有効にされ、無効にすることはできません。Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. データは既定で保護されるので、Azure Storage 暗号化を利用するために、コードまたはアプリケーションを変更する必要はありません。Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

ストレージ アカウントは、そのパフォーマンス レベル (Standard または Premium) またはデプロイ モデル (Azure Resource Manager またはクラシック) に関係なく、暗号化されます。Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Azure Storage のすべての冗長性オプションで暗号化がサポートされており、ストレージ アカウントのすべてのコピーが暗号化されます。All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. BLOB、ディスク、ファイル、キュー、テーブルなど、すべての Azure Storage リソースが暗号化されます。All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. すべてのオブジェクト メタデータも暗号化されます。All object metadata is also encrypted.

暗号化により、Azure Storage のパフォーマンスが影響を受けることはありません。Encryption does not affect Azure Storage performance. Azure Storage 暗号化に対する追加コストはありません。There is no additional cost for Azure Storage encryption.

Azure Storage 暗号化の基になっている暗号化モジュールについて詳しくは、「Cryptography API: Next Generation (暗号化 API: 次世代)」を参照してください。For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

キー管理Key management

Microsoft のマネージド キーを利用してストレージ アカウントを暗号化することも、独自のキーと Azure Key Vault で暗号化を管理することもできます。You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Microsoft のマネージド キーMicrosoft-managed keys

既定では、ストレージ アカウントには Microsoft のマネージド暗号化キーが使われます。By default, your storage account uses Microsoft-managed encryption keys. ストレージ アカウントの暗号化の設定は、次の図のように、Azure portal[暗号化] セクションで確認できます。You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Microsoft のマネージド キーで暗号化されたアカウントを表示する

カスタマー マネージド キーCustomer-managed keys

カスタマー マネージド キーを使用して Azure Storage 暗号化を管理できます。You can manage Azure Storage encryption with customer-managed keys. カスタマー マネージド キーを使うと、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. また、データを保護するために使われる暗号化キーを監査することもできます。You can also audit the encryption keys used to protect your data.

キーの管理およびキーの使用状況の監査には、Azure Key Vault を使います。Use Azure Key Vault to manage your keys and audit your key usage. 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使ってキーを生成することもできます。You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. ストレージ アカウントとキー コンテナーは同じリージョンに存在していることが必要です。ただし、サブスクリプションは異なっていてもかまいません。The storage account and the key vault must be in the same region, but they can be in different subscriptions. Azure Key Vault の詳細については、「Azure Key Vault とは」をご覧ください。For more information about Azure Key Vault, see What is Azure Key Vault?.

カスタマー マネージド キーへのアクセスを取り消すには、Azure Key Vault PowerShell および Azure Key Vault CLI に関する記事をご覧ください。To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. アクセスを取り消すと、Azure Storage が暗号化キーにアクセスできなくなるため、ストレージ アカウント内の全データへのアクセスが事実上ブロックされます。Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Azure Storage でカスタマー マネージド キーを使う方法については、次の記事をご覧ください。To learn how to use customer-managed keys with Azure Storage, see one of these articles:

重要

カスタマー マネージド キーは、Azure Active Directory (Azure AD) の 1 つの機能である Azure リソース用マネージド ID に依存します。Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Azure AD ディレクトリから別のディレクトリにサブスクリプションを転送するとき、マネージド ID が更新されず、カスタマー マネージド キーが機能しなくなる可能性があります。When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. 詳細については、「Azure リソース用マネージド ID に関する FAQ と既知の問題」の中の「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

注意

Azure マネージド ディスクに対しては、カスタマー マネージド キーはサポートされていません。Customer-managed keys are not supported for Azure managed disks.

Azure Storage 暗号化とディスク暗号化Azure Storage encryption versus disk encryption

Azure Storage 暗号化では、すべての Azure ストレージ アカウントとそれに含まれるリソースが暗号化され、それには Azure 仮想マシンのディスクをバックアップするページ BLOB が含まれます。With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. さらに、Azure 仮想マシンのディスクは Azure Disk Encryption で暗号化することもできます。Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Azure Disk Encryption では、業界標準である BitLocker (Windows 上) および DM-Crypt (Linux 上) が使われており、Azure Key Vault と統合されたオペレーティング システム ベースの暗号化ソリューションが提供されます。Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

次の手順Next steps