Azure での暗号化

暗号化された通信や運用プロセスなど、Azure の技術的な保護策は、データのセキュリティ保護に役立ちます。 また、追加の暗号化機能を実装し、独自の暗号化キーを管理する柔軟性もあります。 Microsoft では、お客様の構成に関係なく、Azure で顧客データを保護するために暗号化を適用します。 Microsoft では、暗号化キーの暗号化、制御、管理、データへのアクセスの制御と監査を行うさまざまな高度なテクノロジを使用して、Azure でホストされているデータを制御することもできます。 さらに、Azure Storage には、開発者がセキュリティで保護されたアプリケーションを構築できるようにする包括的なセキュリティ機能セットが用意されています。

Azure には、ある場所から別の場所に移動するデータを保護するための多くのメカニズムが用意されています。 Microsoft では、クラウド サービスと顧客の間を移動するときに TLS を使用してデータを保護します。 Microsoft のデータ センターは、Azure サービスに接続するクライアント システムと TLS 接続をネゴシエートします。 Forward Secrecy (FS) は、顧客のクライアント システムと Microsoft のクラウド サービス間の接続を一意のキーで保護します。 接続では、RSA ベースの 2,048 ビット暗号化キーの長さも使用されます。 この組み合わせにより、転送中のデータを傍受してアクセスすることが困難になります。

クライアント側の暗号化、HTTPS、または SMB 3.0 を使用して、アプリケーションと Azure の間の転送中にデータをセキュリティで保護できます。 独自の仮想マシン (VM) とユーザーの間のトラフィックに対して暗号化を有効にすることができます。 Azure Virtual Networks では、業界標準の IPsec プロトコルを使用して、企業の VPN ゲートウェイと Azure の間、およびVirtual Networkにある VM 間のトラフィックを暗号化できます。

保存データの場合、Azure には AES-256 のサポートなど、多くの暗号化オプションが用意されており、ニーズに最適なデータ ストレージ シナリオを選択できます。 Storage Service Encryption を使用して Azure Storage に書き込むとデータが自動的に暗号化され、VM で使用されるオペレーティング システムディスクとデータ ディスクを暗号化できます。 詳細については、「 Azure での Windows 仮想マシンのセキュリティに関する推奨事項」を参照してください。 さらに、Azure Storage 内のデータ オブジェクトへの委任されたアクセスは、 Shared Access Signatures を使用して付与できます。 Azure では、Azure SQL データベースとData Warehouseの Transparent Data Encryption を使用して保存データの暗号化も提供します。

Azure での暗号化の詳細については、「 Azure 暗号化の概要 」と「 Azure Data Encryption-at-Rest」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

Azure Disk Encryption

Azure Disk Encryption を使用すると、サービスとしての Windows および Linux インフラストラクチャ (IaaS) VM ディスクを暗号化できます。 Azure Disk Encryption では、Windows の BitLocker 機能と Linux の DM-Crypt 機能を使用して、オペレーティング システムとデータ ディスクにボリューム レベルの暗号化を提供します。 また、VM ディスク上のすべてのデータが Azure ストレージ内の保存時に暗号化されます。 Azure Disk Encryption は Azure Key Vault と統合されており、暗号化キーとシークレットの使用を制御、管理、監査するのに役立ちます。

詳細については、「 Azure での Windows 仮想マシンのセキュリティに関する推奨事項」を参照してください。

Azure Storage サービス暗号化

Azure Storage Service Encryption を使用すると、Azure Storage はデータをストレージに保持する前に自動的に暗号化し、取得前にデータの暗号化を解除します。 暗号化、暗号化解除、およびキー管理プロセスは、ユーザーに対して完全に透過的です。 Azure Storage Service Encryption は、Azure Blob StorageとAzure Filesに使用できます。 Azure Storage Service Encryption で Microsoft が管理する暗号化キーを使用することも、独自の暗号化キーを使用することもできます。 (独自のキーの使用については、「Azure Key Vault でのカスタマー マネージド キーを使用した Storage Service Encryption」を参照してください。Microsoft で管理されるキーの使用については、「保存データのストレージ サービス暗号化」を参照してください)。さらに、暗号化の使用を自動化できます。 たとえば、Azure Storage Resource Provider REST API、.NET 用ストレージ リソース プロバイダー クライアント ライブラリ、Azure PowerShell、または Azure CLI を使用して、ストレージ アカウントで Storage Service Encryption をプログラムで有効または無効にすることができます。

一部の Microsoft 365 サービスでは、データの格納に Azure を使用しています。 たとえば、SharePoint Online と OneDrive for Business は Azure Blob Storage にデータを格納し、Microsoft Teams はチャット サービスのデータをテーブル、BLOB、キューに格納します。 さらに、Microsoft Purview コンプライアンス ポータルのコンプライアンス マネージャー機能では、顧客が入力したデータが、グローバルに分散されたマルチモデル データベースである Azure Cosmos DB (サービスとしてのプラットフォーム (PaaS)) に暗号化された形式で格納されます。 Azure Storage Service Encryption は、Azure Blob Storage とテーブルに格納されているデータを暗号化し、Azure Disk Encryption はキュー内のデータと Windows および IaaS 仮想マシン ディスクを暗号化して、オペレーティング システムとデータ ディスクのボリューム暗号化を提供します。 このソリューションにより、仮想マシン ディスク上のすべてのデータが Azure ストレージ内の保存時に暗号化されます。 Azure Cosmos DB の保存時の暗号化 は、セキュリティで保護されたキー ストレージ システム、暗号化されたネットワーク、暗号化 API など、いくつかのセキュリティ テクノロジを使用して実装されます。

Azure Key Vault

セキュリティで保護されたキー管理は、暗号化のベスト プラクティスの中核となるだけではありません。クラウド内のデータを保護するためにも不可欠です。 Azure Key Vaultを使用すると、ハードウェア セキュリティ モジュール (HSM) に格納されているキーを使用するキーやパスワードなどの小さなシークレットを暗号化できます。 Azure Key Vault は、クラウド サービスで使用される暗号化キーへのアクセスを管理および制御するための Microsoft 推奨ソリューションです。 アクセス キーへのアクセス許可は、サービスまたは Azure Active Directory アカウントを持つユーザーに割り当てることができます。 Azure Key Vaultを使用すると、組織は HSM とキー管理ソフトウェアを構成、修正、保守する必要が軽減されます。 Azure Key Vaultでは、キーが表示されることはなく、アプリケーションには直接アクセスできません。制御を維持します。 HSM でキーをインポートまたは生成することもできます。 Azure Information Protectionを含むサブスクリプションを持つ組織は、カスタマー マネージド キー Bring Your Own Key (BYOK) を使用するように Azure Information Protection テナントを構成し、その使用状況をログに記録できます。