Azure には、クラウドでの暗号化キーストレージと管理のためのソリューションがいくつか用意されています。Azure Key Vault (Standard および Premium オファリング)、Azure Key Vault Managed HSM、Azure Cloud HSM、Azure Payment HSM です。 この記事は、シナリオ、要件、業界に基づいて適切なソリューションを選択するのに役立ちます。
主要な管理の概念の概要と各ソリューションの詳細な説明については、 Azure でのキー管理に関するページを参照してください。
キー管理ソリューションを絞り込むには、一般的な高レベルの要件とキー管理シナリオに基づいてフローチャートに従います。 または、その後の特定の顧客要件に基づくテーブルを使用します。 ソリューションとして複数の製品を提供する場合、または適切な製品の選択について安心したい場合は、フローチャートとテーブルの組み合わせを使用して最終的な決定を行います。 同じ業界の他の顧客が何を使用するかについて興味がある場合は、業界セグメント別の一般的なキー管理ソリューションの表を参照してください。
シナリオ別に Azure キー管理ソリューションを選択する
次のチャートは、一般的な要件とユース ケースのシナリオ、および推奨される Azure キー管理ソリューションを説明したものです。
このチャートでは、次の一般的な要件が示されています。
- FIPS-140 は、さまざまなレベルのセキュリティ要件を含む米国政府の標準です。 詳細については、Federal Information Processing Standards (FIPS) 140 に関するページを参照してください。
- "キー主権" は、お客様の組織がキーを完全かつ排他的に管理できることであり、キーにアクセスできるユーザーやサービスの管理、キー管理ポリシーなどが含まれます。
- 単一テナント とは、複数の顧客間の共有インスタンスではなく、顧客ごとにデプロイされたアプリケーションの単一の専用インスタンスを指します。 金融サービス業界の内部コンプライアンス要件としてシングル テナント製品が求められるケースが多く見られます。
また、次のようなさまざまなキー管理のユース ケースにも言及しています。
- "保存時の暗号化" は、通常、Azure IaaS、PaaS、SaaS モデルで有効になっています。 Microsoft 365 などのアプリケーション、Microsoft Purview Information Protection、クラウドがストレージ、分析、サービス バス機能に使われるプラットフォーム サービス、オペレーティング システムとアプリケーションがホストされてクラウドにデプロイされるインフラストラクチャ サービスで、保存時の暗号化が使われます。 保存時の暗号化用のカスタマー マネージド キー は、Azure Storage と Microsoft Entra で使用されます。 最高のセキュリティのためには、キーは HSM で保護された 3k または 4k の RSA キーである必要があります。 保存時の暗号化について詳しくは、「保存時の Azure データの暗号化」をご覧ください。
- SSL/TLS オフロード は、Azure Managed HSM と Azure Cloud HSM でサポートされています。 お客様は、F5 および Nginx 用の Azure Managed HSM の高可用性、セキュリティ、および最適な価格ポイントを改善しました。
- "リフト アンド シフト" とは、オンプレミスの PKCS11 アプリケーションが Azure Virtual Machines に移行され、Azure Virtual Machines で Oracle TDE などのソフトウェアを実行するシナリオのことです。 支払い用暗証番号 (PIN) 処理を必要とするリフト アンド シフトは、Azure Payment HSM でサポートされています。 その他のすべてのシナリオは、Azure Cloud HSM でサポートされています。 PKCS11、JCA/JCE、CNG/KSP などのレガシ API とライブラリは、Azure Cloud HSM でのみサポートされています。
- "支払い用暗証番号 (PIN) 処理" には、カードとモバイル支払の承認と 3D セキュアで保護された認証、PIN の生成と管理と検証、カードやウェアラブルや接続されたデバイスの支払い資格情報の発行、キーと認証データのセキュリティ保護、ポイントツーポイント暗号化、セキュリティ トークン化、EMV 決済トークン化のための機密データ保護が含まれます。 これには、PCI DSS、PCI 3DS、PCI PIN などの認証も含まれます。 これらは、Azure Payment HSM でのみサポートされます。
フローチャートの結果は、ニーズに最適なソリューションを明らかにするための出発点になります。
その他の顧客要件を比較する
Azure には、お客様が大まかな要件と管理責任の両方に基づいて製品を選択できるように、複数のキー管理ソリューションが用意されています。 顧客の責任が少ない Azure Key Vault、Azure Managed HSM、Azure Cloud HSM (Microsoft が修正プログラムの適用とメンテナンスを処理する) から、顧客の責任が最も多い Azure Payment HSM まで、さまざまな管理責任があります。
お客様と Microsoft 間の管理責任のトレードオフやその他の要件について、以下の表で詳しく説明します。
プロビジョニングとホスティングは、すべてのソリューションで Microsoft によって管理されます。 キーの生成と管理、ロールとアクセス許可の付与、監視と監査は、すべてのソリューションにおいてお客様の責任です。
表を用いて、すべてのソリューションを並べて比較できます。 一番左の列にある各質問に答えながら上から下へ進み、管理オーバーヘッドやコストなど、ニーズをすべて満たすソリューションを選択してください。
| AKV Standard | AKV Premium | Azure Key Vault マネージド HSM | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| どのレベルのコンプライアンスが必要ですか? | FIPS 140-2 レベル 1 | FIPS 140-3 レベル 3 | FIPS 140-3 レベル 3、PCI DSS、PCI 3DS | FIPS 140-3 レベル 3 | FIPS 140-2 レベル 3、PCI HSM v3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| キー主権が必要ですか? | いいえ | いいえ | はい | はい | はい |
| どのような種類のテナントをお探しですか? | マルチテナント | マルチテナント | シングル テナント | シングル テナント | シングル テナント |
| ご自分のユース ケースはどれですか? | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、TLS オフロード、CMK、カスタム | リフト アンド シフト、PKCS#11、TLS オフロード、TDE、コード署名 | 支払い PIN プロセス、カスタム |
| HSM ハードウェア保護が必要ですか? | いいえ | はい | はい | はい | はい |
| 予算はどのくらいですか? | $ | $$ | $$$ | $$$ | $$$$ |
| パッチの適用とメンテナンスは誰が責任を負いますか? | Microsoft | Microsoft | Microsoft | Microsoft | カスタマー |
| サービスの正常性とハードウェアのフェールオーバーは誰が責任を負いますか? | Microsoft | Microsoft | Shared | Microsoft | カスタマー |
| どのような種類のオブジェクトをお使いですか? | Asym キー、シークレット、証明書 | Asym キー、シークレット、証明書 | 非同期/同期キー | 非同期/同期キー、証明書 | ローカル マスター キー |
| 信頼のルート コントロール | Microsoft | Microsoft | カスタマー | カスタマー | カスタマー |
業界セグメント別の一般的なキー管理ソリューションの使用
各業界でよく利用されているキー管理ソリューションの一覧を以下に示します。
| 業界 | 推奨される Azure ソリューション | 推奨されるソリューションに関する考慮事項 |
|---|---|---|
| 厳密なセキュリティとコンプライアンス要件 (銀行、政府、高度な規制対象の業界など) を持つ企業または組織です。 | Azure Key Vault マネージド HSM | Azure Key Vault Managed HSM は FIPS 140-3 レベル 3 コンプライアンスを提供し、e コマース向けの PCI 準拠ソリューションです。 そこでは、PCI DSS 4.0 の暗号化がサポートされています。 キーは HSM で保護され、お客様にキー主権とシングル テナントを提供します。 |
| 私は直接消費者向けの e コマース業者で、顧客のクレジット カードを保存、処理、および外部の支払いプロセッサ/ゲートウェイに送信し、PCI 準拠のソリューションを探す必要があります。 | Azure Key Vault マネージド HSM | Azure Key Vault Managed HSM は FIPS 140-3 レベル 3 コンプライアンスを提供し、e コマース向けの PCI 準拠ソリューションです。 そこでは、PCI DSS 4.0 の暗号化がサポートされています。 キーは HSM で保護され、お客様にキー主権とシングル テナントを提供します。 |
| 金融サービス、発行者、カード取得者、カード ネットワーク、支払いゲートウェイ/PSP、または 3DS ソリューション プロバイダーのサービス プロバイダーであり、PCI と複数の主要なコンプライアンス フレームワークを満たす単一のテナント サービスを探しています。 | Azure Payment HSM | Azure Payment HSM は、FIPS 140-2 Level 3、PCI HSM v3、PCI DSS、PCI 3DS、および PCI PIN に準拠しています。 決済処理に関する一般的な社内コンプライアンス要件である、キー主権とシングル テナントを提供します。 Azure Payment HSM は、完全な決済トランザクションと PIN 処理をサポートします。 |
| クラウドネイティブ アプリケーションのプロトタイプを作成しようとしている初期段階のスタートアップ カスタマーです。 | Azure Key Vault Standard(アジュールキー・ボールトスタンダード) | Azure Key Vault Standard では、ソフトウェアに基づくキーがエコノミー価格で提供されます。 |
| クラウドネイティブ アプリケーションを作成しようとしているスタートアップ カスタマーです。 | Azure Key Vault Premium、Azure Key Vault Managed HSM | Azure Key Vault Premium と Azure Key Vault Managed HSM の両方で HSM ベースのキーが提供されます*。これは、クラウド ネイティブ アプリケーションを構築するための最適なソリューションです。 |
| Azure VM/HSM を使用するようにアプリケーションを移行したいと考えている IaaS の顧客です。 | Azure Cloud HSM | Azure Key Vault Managed HSM では、IaaS シナリオがサポートされ、主要主権に対する FIPS 140-3 レベル 3 のコンプライアンスが提供されます。 Azure Cloud HSM は、オンプレミスの HSM、Azure Dedicated HSM、AWS CloudHSM からの移行など、PKCS#11 のサポートを必要とするリフト アンド シフト シナリオに最適です。 |
技術仕様やユース ケースなど、各 Azure キー管理ソリューションの詳細については、「 Azure でのキー管理」を参照してください。