03-5946-8400
HOME
目次
はじめに
クラウドの活用が急速に広がっている昨今において、クラウド運用時のセキュリティ対策は企業にとってきわめて重要なものとなっています。信頼性の高いクラウドサービスを選定の上利用していたとしても、その上で可能な限り強固なセキュリティ対策を実行しておきたいと考える企業も多いことでしょう。
全世界で数多くのユーザーを持つクラウドサービス「 Microsoft Azure 」においても、ソフトウェア開発作業時などにおいては、特にセキュリティ対策の強化が重要です。そこでこの記事では、Microsoft Azure のセキュリティサービス「 Azure Key Vault 」についてご紹介します。
- よくあるお悩み:
- 導入した Azure 環境に、適切なセキュリティ対策が施されているかわからない
- システムへのアクセスをコントロールしたいが、適切な方法がわからない このようなお悩みを解決するサービスはこちら。>> Azure セキュリティ対策サービス
1. Azure Key Vault とは
Azure Key Vault は、システムにおける機密情報の保管と安全なアクセスを実現するために提供される、Microsoft Azure のセキュリティサービスです。
ちなみに、Azure Key Vault の「 Key Vault 」とは「鍵の金庫(保管庫)」を意味しています。Microsoft Azure に含まれるあらゆる重要な機密情報を収納し、しっかり保管して流出させない仮想の金庫がシステムの内部に備わっていると考えると、分かりやすいでしょう。
2. Azure Key Vault のメリット
これまでは、クラウド上でアプリケーションの開発を行う場合、アプリケーションが利用する機密情報に関してはそのアプリケーション内に含める必要がありました。そのため、アプリケーションのファイル(実行ファイル、設定ファイル、ソースコードなど)の漏洩や、不正使用によって重要な情報が漏洩してしまう可能性が以前より指摘されている状況でした。
上記のリスクに対処するため、機密情報をアプリケーションには含めず、Azure Key Vault による仮想の金庫ともいえる「キーコンテナー」に収納し、必要に応じて Azure Active Directory による認証を行います。その上で、機密情報に対するアクセスを受け付けるという仕組みを実現します。
「安全な金庫にある機密情報を、認証によって必要なときに必要なユーザーにだけ渡す」という状況をイメージすると、分かりやすいと思います。Azure Key Vault ではこの手法によって、クラウド上にあるアプリケーションファイルからの機密情報などの漏洩を防いでいるのです。
また、これらの機密情報をアプリケーションがあるクラウド上に格納しておくことによって、認証と許可にかかる待機時間を短縮することができます。これによって、アプリケーションそのもののパフォーマンスにも影響を与えない環境を実現できます。
Azure Key Vault は、この認証認可を行うことによって、外部からの不正なアクセスを防ぐことにとどまらず、近年問題となっている内部の関係者によるセキュリティの脅威にも対処することが可能です。Azure Key Vault を利用することで、アプリケーション内部に機密情報を一切含むことなくシステムの設計や構築作業が行えるようになります。
従来、アプリケーション開発の一部を外部開発者に委託するケースなどにおいては、委託先とパスワードなどを共有しなければならないというセキュリティ上のネックがありました。しかし、Azure Key Vault によって適正に管理が行われることで、委託先へパスワードなどを教えなくても先方での開発作業が可能になります。また同時に、組織の内部関係者に由来する機密情報漏洩に関するリスクの抑制も行えるようになるのです。
3. Azure Key Vault の必要性
クラウドサービスを安全に利用するためには、シークレット、キー、証明書などの各種機密情報を、厳重に保管し適正に管理する必要があります。全世界で利用者が非常に多く、さまざまなクラウドサービスのなかでも特に信頼性が高いといわれている Microsoft Azure においても、その例外ではありません。
さまざまな企業で幅広く利用されている Microsoft Azure ですが、ユーザー自身でもより安心して利用するための環境を整えることは必須といえます。テレワークや外部スタッフとの連携時にも、セキュアな状況下で Microsoft Azure を利用するための機能として用意されているサービスが、Azure Key Vault です。
企業内部で管理する機密情報が外部に漏洩することで発生する被害は、計り知れないものがあります。仮に重大な事故が起こってしまった場合には、想定外に甚大な損害が発生する可能性もあり、企業の存続にかかわる事態ともなり得ます。そのような事態は決して起きてはなりませんし、企業として発生を未然に防ぐ必要があります。 特に外部と連携した体制で Microsoft Azure を用いた開発やサービス展開をより安全に行いたいと考えるなら、Azure Key Vault は必須だともいえるでしょう。
4. Azure Key Vault で保管できる機密情報
Azure Key Vault では、以下に挙げる 3 つの機密情報(鍵)を、「キーコンテナー」と呼ばれる仮想の金庫内に保管することにより一元管理しています。ここでは、Azure Key Vault で保管可能な 3 つの機密情報について、それぞれ詳しくご説明します。
4.1 シークレット
トークン、パスワード、証明書、API キーなど、機密情報として扱う必要のある文字列を管理しています。これらの文字列は、Azure Key Vault においては暗号化された状態で保管されます。そして暗号化された情報が参照されると、その都度暗号から文字列へと復元される仕組みとなっています。
4.2 キー
データを暗号化する際に利用する(暗号化)キーを管理します。なお、Azure Key Vault のキーでは、RSA 暗号(※1)と楕円曲線暗号(※2)の 2 種類の暗号化方式をサポートしています。なおキーコンテナーは複数作成することが可能なため、システム別、あるいはセキュリティポリシー別などのように、それぞれの運用に応じて使い分けることも可能です。
※1. RSA暗号
桁数の大きい合成数の素因数分解問題が困難であることを安全性の根拠とした、公開鍵暗号の 1 つを指します。
※2. 楕円曲線暗号
楕円曲線上の離散対数問題( EC-DLP )の困難性を、安全性の根拠とする暗号を指します。
4.3 証明書
Microsoft Azure および内部の接続されているリソースで使用する TLS( Transport Layer Security )または SSL( Secure Sockets Layer )証明書の作成、登録、管理を行います。Microsoft Azure の各種リソースなどにおいて、Azure Key Vault で管理される証明書を使用することが可能です。
5. Azure Key Vault の仕組み
Azure Key Vault には、Azure Active Directory に存在するユーザーとアプリケーションのみがアクセス可能となっています。
ユーザーやアプリケーションが各キーコンテナーにアクセスする際は、Azure Active Directory によって「認証」が行われます。その上で、システムやセキュリティポリシーなどで分類された「アクセスポリシー」を満たした場合に決められたキーコンテナーにアクセスすることが可能となります。なお、キーコンテナーでは、最大で 1,024 個のアクセスポリシーがサポートされています。
( Azure Active Directory 上にあるユーザーまたはアプリケーションが、アクセスポリシー A を持つキーコンテナー A にアクセス)
6. Azure Key Vault のプラン
Azure Key Vault には、2 種類のサービスプランが用意されています。
1 つ目は、ソフトウェアキーを使用して暗号化を行う「 Standard 」プランです。2 つ目は、ハードウェアセキュリティモジュール( HSM/暗号鍵の脆弱性に対して対策を行うため、特別に設計された専用の暗号プロセッサ)で保護されたキーを使用することにより暗号化を行う「 Premium 」となっています。プランごとに、各種操作に対する価格設定が異なる場合がありますので、利用を検討する際には操作ごとの価格設定も確認しましょう。
また、コンテナーについては、機密情報(キー、シークレット、証明書など)を管理するための「ボールト」と、HSM でサポートされる暗号化キーを格納および管理するための「マネージドHSMプール」があり、それぞれに課金額が設定されています。ただし、以下の表にも記載しておりますとおり「マネージドHSMプール」については、Japanリージョンを含む一部のリージョンでは利用不可となっています。Azure Key Vault のご利用を検討する際には、その点について注意してください。
6.1 Azure Key Vault の価格
Azure Key Vaultの価格については、以下の表をご参照ください( 2021 年 8 月時点の情報をもとに作成しています)。
最新の価格情報は公式サイト「Key Vault の価格」でご確認ください。
ボールト
| Standard | Premium | |
|---|---|---|
| 秘密情報の操作 | ¥3.36/10,000 トランザクション | ¥3.36/10,000 トランザクション |
| 証明書の操作 | ・更新 -¥336/更新リクエストごと ・その他すべての操作 -¥3.36/10,000 トランザクション |
・更新 -¥336/更新リクエストごと ・その他すべての操作 -¥3.36/10,000 トランザクション |
ソフトウェアで保護されたキー
| Standard | Premium | |
|---|---|---|
| RSA 2048 ビット キー | ¥3.36/10,000 トランザクション | ¥3.36/10,000 トランザクション |
| 高度なキー (RSA 3072 ビット、 RSA 4096 ビット、 楕円曲線暗号 (ECC) キー) |
¥16.80/10,000 トランザクション | ¥16.80/10,000 トランザクション |
HSM で保護されたキー
| Standard | Premium | |
|---|---|---|
| RSA 2048 ビット キー | 利用不可 | キーあたり ¥112/月 + ¥3.36/10,000 トランザクション |
| 高度なキー (RSA 3072 ビット、 RSA 4096 ビット、 楕円曲線暗号 (ECC) キー) |
利用不可 | 最初の250キー:キーあたり ¥560/月 251~1500キー:キーあたり ¥280/月 1501~4000キー:キーあたり ¥100.80/月 4001キー以上:キーあたり ¥44.800/月 + ¥16.80/10,000 トランザクション |
なお、価格に関する情報は、今後変動する可能性があります。これから Azure Key Vault の利用を検討する際には、その時点での詳細について、日本マイクロソフト株式会社もしくは Microsoft Azure を提供するベンダーが提供する最新の情報を確認するようにしてください。
- 参考記事:
- Key Vault の価格
まとめ
今回は Azure のセキュリティサービスである「 Azure Key Vault 」について、保管可能な 3 つの機密情報や仕組み、プランと価格についてご紹介しました。Microsoft Azure の利用を考えている企業や、現在利用中の企業においては、もっとも重要なセキュリティ対策の一つとして Azure Key Vault の利用を検討することをおすすめします。
Azure のセキュリティ対策を相談したい
Azure セキュリティ対策サービス
お客様がすでにお持ちの Azure 環境に対する、セキュリティ対策の評価と対策のご提示、ユーザーごとの適切な権限と条件付きアクセスポリシーの定義、シングルサインオンの導入計画の策定などを行います。
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
Tag: Azure Key Vault セキュリティ
よく読まれる記事
- 1 Visual Studio Code とは?柔軟で効率的なアプリ開発の方法と、Visual Studio との違いを解説2023.05.23
- 2 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 5 Azure AD Connectとは?オンプレミスとクラウドの両方で使えるアカウント管理ツール2021.06.02
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。