Azure Key Vault を使用する拡張キー管理 (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

適用対象: ○SQL Server XAzure SQL Database XAzure SQL Data Warehouse XParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

MicrosoftMicrosoft 用の SQL ServerSQL Server コネクタを使用すると、SQL ServerSQL Server の暗号化において、Azure Key Vault サービスを拡張キー管理 (EKM) プロバイダーに使用して、SQL ServerSQL Server の暗号化キーを保護することができます。The SQL ServerSQL Server Connector for MicrosoftMicrosoft Azure Key Vault enables SQL ServerSQL Server encryption to use the Azure Key Vault service as an Extensible Key Management (EKM) provider to protect SQL ServerSQL Server encryption keys.

このトピックでは、SQL ServerSQL Server コネクタについて説明します。This topic describes the SQL ServerSQL Server connector. その他の情報については、「 Azure Key Vault を使用した拡張キー管理のセットアップ手順」、「 SQL 暗号化機能への SQL Server コネクタの使用」、「 SQL Server コネクタのメンテナンスとトラブルシューティング」を参照してください。Additional information is available in Setup Steps for Extensible Key Management Using the Azure Key Vault, Use SQL Server Connector with SQL Encryption Features, and SQL Server Connector Maintenance & Troubleshooting.

拡張キー管理 (EKM) の概要と用途What is Extensible Key Management (EKM) and Why Use it?

SQL ServerSQL Server には、Transparent Data Encryption (TDE)列レベルの暗号化 (CLE)バックアップの暗号化など、機密データの保護に有効ないくつかの種類の暗号化が用意されています。provides several types of encryption that help protect sensitive data, including Transparent Data Encryption (TDE), Column Level Encryption (CLE), and Backup Encryption. いずれのケースも、この従来のキー階層では、対称データ暗号化キー (DEK) を使用してデータが暗号化されます。In all of these cases, in this traditional key hierarchy, the data is encrypted using a symmetric data encryption key (DEK). 対称なデータ暗号化キーは、 SQL ServerSQL Serverに格納されたキーの階層で暗号化することにより、さらに保護されます。The symmetric data encryption key is further protected by encrypting it with a hierarchy of keys stored in SQL ServerSQL Server. このモデルに代わるのが、EKM プロバイダー モデルです。Instead of this model, the alternative is the EKM Provider Model. EKM プロバイダーのアーキテクチャでは、 SQL ServerSQL Server の外側にある外部暗号化サービス プロバイダーに格納された非対称キーを使用して、 SQL ServerSQL Server でデータの暗号化キーを保護することができます。Using the EKM provider architecture enables SQL ServerSQL Server to protect the data encryption keys by using an asymmetric key stored outside of SQL ServerSQL Server in an external cryptographic provider. このモデルによって、セキュリティの層が拡充され、キーとデータの管理が分離されます。This model adds an additional layer of security and separates the management of keys and data.

次の図は、従来のサービスにおけるキー管理階層と Azure Key Vault システムとを比較したものです。The following image compares the traditional service-manage key hierarchy with the Azure Key Vault system.

ekm-key-hierarchy-traditionalekm-key-hierarchy-traditional

SQL ServerSQL Server コネクタが、 SQL ServerSQL Server と Azure Key Vault の橋渡し的役割を担うことで、 SQL ServerSQL Server は、Azure Key Vault サービスのスケーラビリティ、高パフォーマンス、高可用性を活かすことができます。The SQL ServerSQL Server Connector serves as a bridge between SQL ServerSQL Server and Azure Key Vault, so SQL ServerSQL Server can leverage the scalability, high performance, and highly availability of the Azure Key Vault service. 以下の図は、EKM プロバイダー アーキテクチャにおけるキーの階層が、Azure Key Vault および SQL ServerSQL Server コネクタと連動するようすを表しています。The following image represents how the key hierarchy works in the EKM provider architecture with Azure Key Vault and SQL ServerSQL Server Connector.

Azure Key Vault は、 SQL ServerSQL Server Azure Virtual Machines 上の MicrosoftMicrosoft インストール環境で使用したり、オンプレミス サーバー用に使用したりすることが可能です。Azure Key Vault can be used with SQL ServerSQL Server installations on MicrosoftMicrosoft Azure Virtual Machines and for on-premises servers. また、資格情報コンテナー サービスでは、厳密な管理および監視下にあるハードウェア セキュリティ モジュール (HSM) を使用し、非対称暗号化キーをより高いレベルで保護するオプションも提供します。The key vault service also provides the option to use tightly controlled and monitored Hardware Security Modules (HSMs) for a higher level of protection for asymmetric encryption keys. 資格情報コンテナーの詳細については、「 Azure Key Vault」を参照してください。For more information about the key vault, see Azure Key Vault.

次の図は、Key Vault を使用した EKM のプロセス フローについてまとためものです。The following image summarizes the process flow of EKM using the key vault. (図の中にプロセス手順番号が示されていますが、図の後に示す設定手順の番号と対応しているわけではありません。)(The process step numbers in the image are not meant to match the setup step numbers that follow the image.)

Azure Key Vault を使用した SQL Server EKMSQL Server EKM using the Azure Key Vault

注意

1.0.0.440 以前のバージョンは置き換えられ、実稼働環境ではサポートされなくなりました。Versions 1.0.0.440 and older have been replaced and are no longer supported in production environments. Microsoft ダウンロード センターにアクセスし、[SQL Server コネクタのメンテナンスとトラブルシューティング] ページの "SQL Server コネクタのアップグレード" に示されている手順を使用して、バージョン 1.0.1.0 以降にアップグレードしてください。Upgrade to version 1.0.1.0 or later by visiting the Microsoft Download Center and using the instructions on the SQL Server Connector Maintenance & Troubleshooting page under "Upgrade of SQL Server Connector."

次の手順については、「 Azure Key Vault を使用した拡張キー管理のセットアップ手順」を参照してください。For the next step, see Setup Steps for Extensible Key Management Using the Azure Key Vault.

使用シナリオについては、「 SQL 暗号化機能への SQL Server コネクタの使用」を参照してください。For use scenarios, see Use SQL Server Connector with SQL Encryption Features.

参照See Also

SQL Server コネクタのメンテナンスとトラブルシューティングSQL Server Connector Maintenance & Troubleshooting