本日は、Azure Blob Storage および Azure File Storage 用に Azure Key Vault と統合されたカスタマー マネージド キーによる Storage Service Encryption の一般提供についてお知らせいたします。Azure のお客様には既に、Microsoft のマネージド キーを使用して、Azure Blob Storage と Azure File Storage で Storage Service Encryption をご利用いただいております。
カスタマー マネージド キーによる Storage Service Encryption では Azure Key Vault を使用しており、FIPS 140-2 レベル 2 で検証済みのハードウェア セキュリティ モジュール (HSM) によって支えられた、可用性とスケーラビリティが高く安全なストレージに RSA 暗号化キーを保存できます。Key Vault によってキー管理プロセスが合理化されるので、お客様はデータの暗号化に使用するキーを全面的にコントロールできるほか、キーの使用を管理したり監査したりできます。
この機能は、規制またはコンプライアンスに関するニーズ、HIPAA、BAA への準拠の一環として機密データの保護が必要なエンタープライズのお客様から、ご要望が特に多かったものの 1 つです。
お客様は自身の RSA キーを生成して Azure Key Vault にインポートし、Storage Service Encryption で使用することができます。Azure Storage ではエンベロープ暗号化を採用しており、暗号化とその解除が完全に透過的に処理されます。このエンベロープ暗号化は、AES 256 ベースのキーを使用してデータを暗号化するという技術です。ここで使用する AES 256 ベースのキーが、Azure Key Vault に格納されたカスタマー マネージド キーにより保護されます。
お客様は、コンプライアンス ポリシーに応じて Azure Key Vault 内のキーのローテーションを行えます。キーのローテーションを行うと、そのストレージ アカウント用のアカウント暗号化キーが Azure Storage によって再暗号化されます。すべてのデータを再暗号化することにはならないので、ユーザーは他の操作を行う必要がありません。
お客様は、Azure Key Vault にあるキーに対するアクセスを取り消すことによって、ストレージ アカウントへのアクセスを取り消すこともできます。キーへのアクセスは、いくつかの方法で取り消すことができます。詳細については、Azure Key Vault PowerShell に関するページと Azure Key Vault CLI に関するページをご覧ください。アクセスを取り消すと、Azure Storage がアカウント暗号化キーにアクセスできなくなるため、ストレージ アカウント内の全 BLOB へのアクセスが事実上ブロックされます。
お客様がランサムウェアのシナリオからの保護に役立つカスタマー マネージド キーを使用するには、[Do Not Purge] (消去しない) と [論理的な削除] を有効にする必要があります。
お客様は、利用できる各種冗長性の Azure Blob Storage と Azure File Storage (Premium Storage など) でこの機能を有効にできるほか、Microsoft マネージド キーの使用からカスタマー マネージド キーの使用に切り替えることができます。この機能の有効化については、追加料金は発生しません。
どの Azure Resource Manager ストレージ アカウントでも、カスタマー マネージド キーによる Storage Service Encryptionは、Azure portal、Azure PowerShell、Azure CLI、または Microsoft Azure Storage リソース プロバイダー API を使用して有効にできます。
詳細については、カスタマー マネージド キーによる Storage Service Encryption に関するページをご覧ください。