Azure Cloud HSM に関する FAQ

Microsoft Azure Cloud HSM は、FIPS 140-3 レベル 3 セキュリティ標準を満たすハードウェア セキュリティ モジュール (HSM) を使用して、暗号化キーのセキュリティで保護されたストレージを提供するサービスです。 これは、業界標準に準拠した、カスタマー マネージドのシングルテナントの高可用性サービスです。

Azure Cloud HSM では、PKCS#11、Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) 処理のオフロード、証明機関 (CA) 秘密キー保護、透過的なデータ暗号化 (TDE) など、さまざまなアプリケーションがサポートされています。 また、ドキュメントとコードの署名もサポートしています。

Azure Cloud HSM は、複数の HSM をクラスターにグループ化し、3 つの HSM インスタンス間で自動的に同期することで、高可用性と冗長性を提供します。 HSM クラスターでは、暗号化操作の負荷分散がサポートされています。 定期的な HSM バックアップは、セキュリティで保護されたシンプルなデータ復旧を保証するのに役立ちます。 詳細については、「 Azure Cloud HSM とは」を参照してください。

ハードウェア セキュリティ モジュール (HSM) は、暗号化キーを保護および管理するように設計された物理コンピューティング デバイスです。 HSM 内では、キーは安全に格納され、暗号化操作に使用されます。 改ざんに対する耐性と改ざんを防止するハードウェア モジュールは、これらのキーの機密性と整合性を確保するのに役立ちます。 キーへのアクセスは、認証および承認されたアプリケーションに制限されるため、キー マテリアルは常に HSM の保護された境界内に留まります。 詳細については、 Azure Cloud HSM デプロイのセキュリティ保護に関するページを参照してください。

Azure Cloud HSM では、Marvell LiquidSecurity ハードウェア セキュリティ モジュールが使用されます。 サービスの仕様の詳細については、 Azure Cloud HSM サービスの制限に関するページを参照してください。

Microsoft は、SDK を通じて Azure Cloud HSM 用のすべてのソフトウェアとツールを提供しています。 Azure Cloud HSM SDK は GitHub からダウンロードできます。 統合オプションの詳細については、 Azure Cloud HSM 統合ガイドを参照してください。

いいえ。Microsoft はハードウェア上のファームウェアを監視します。 サード パーティ (HSM の製造元) がハードウェアを維持します。 NIST はファームウェアを評価し、FIPS 140-3 レベル 3 標準に準拠するように署名する必要があります。 ハードウェア管理の詳細については、「 Azure Cloud HSM とは」を参照してください。

Azure には、クラウドでの暗号化キーのストレージと管理のための複数のソリューション (Azure Key Vault (Standard オファリングと Premium オファリング)、Azure Managed HSM、Azure Cloud HSM、Azure Payment HSM が用意されています。 どのソリューションが最適かを顧客が判断するのは、圧倒的な可能性があります。 一般的な高レベルの要件と主要な管理シナリオに基づくフローチャートは、お客様がこの決定を行うのに役立ちます。 適切なキー管理ソリューションを選択する方法を参照してください。

Azure Cloud HSM は、HSM を既に使用しているオンプレミス アプリケーションを Azure に移行する場合の移行シナリオに最適です。 Azure Cloud HSM には、アプリケーションへの最小限の変更で Azure に移行するための低摩擦オプションが用意されています。

暗号化操作が Azure 仮想マシンまたは Web アプリで実行されているアプリケーションのコードで実行される場合、組織は Cloud HSM を使用できます。 一般に、キー ストアとして HSM をサポートするサービスとしてのインフラストラクチャ (IaaS) モデルで実行されている圧縮ラップされたソフトウェアは、Cloud HSM を使用できます。 このソフトウェアには次のものが含まれます。

• Active Directory 証明書サービス (AD CS)。
• NGINX と Apache の SSL/TLS オフロード。
• ドキュメント署名に使用されるツールとアプリケーション。
• コード署名。
• Java Cryptography Extension (JCE) プロバイダーを必要とする Java アプリケーション。
• 拡張キー管理 (EKM) による Microsoft SQL Server TDE (IaaS)。
• Oracle TDE。

これらのシナリオの実装の詳細については、 Azure Cloud HSM 統合ガイドを参照してください。

いいえ。 Microsoft では、"Bring Your Own HSM" はサポートされていません。Azure Cloud HSM は、顧客が提供するデバイスをホストできません。 サービス アーキテクチャの詳細については、「 Azure Cloud HSM とは」を参照してください。

はい。ただし、アーキテクチャと構成によって異なります。 専用 HSM デプロイが高可用性 (HA) グループで構成されている場合、キーを移行することはできません。 その理由は、キーの複製 (HA グループ化) を許可するためにキーのエクスポートが無効になっており、それらの属性を変更することは破壊的なプロセスであるためです。 専用 HSM デプロイが HA グループで構成されている場合は、Azure Cloud HSM に移行するときに新しいキーを作成する必要があります。 キー管理の詳細については、「 Azure Cloud HSM でのキー管理」を参照してください。

いいえ。Azure Cloud HSM には通貨ポリシーがありません。 Azure Cloud HSM のオンボードは、すべての顧客が利用できます。 概要の詳細については、 Azure Cloud HSM オンボード ガイドを参照してください。

3 つのノードで構成される Azure Cloud HSM クラスターごとに 1 時間ごとの料金が発生します。 Cloud HSM リソースをプロビジョニングした後も、継続的にアクティブな状態 (常にオン) が維持されます。 HSM リソースの初期化が完了したときではなく、リソースをプロビジョニングすると課金が開始されます。 デプロイ オプションの詳細については、「 PowerShell を使用して Azure Cloud HSM をデプロイ する」または 「Azure portal を使用して Azure Cloud HSM をデプロイする」を参照してください。

Azure Cloud HSM には、仮想ネットワークやプライベート エンドポイントなどのネットワーク インフラストラクチャが必要です。 また、デバイス構成用の仮想マシンなどのリソースも必要です。 これらのリソースでは追加コストが発生し、Azure Cloud HSM サービスの価格には含まれません。 ネットワーク要件の詳細については、「 Azure Cloud HSM のネットワーク セキュリティ」を参照してください。

いいえ。無料レベルは Azure Cloud HSM では使用できません。 サービス オファリングの詳細については、「 Azure Cloud HSM とは」を参照してください。

• Windows Server 2016、2019、2022
• Linux (Ubuntu 20.04、Ubuntu 22.04、Ubuntu 24.04、RHEL 7、RHEL 8、RHEL 9)
• CBL マリナー 2

互換性とトラブルシューティングの詳細については、「 Azure Cloud HSM のトラブルシューティング」を参照してください。

サービスのデプロイを管理するには、 GitHub から Secure Shell (SSH) と Azure Cloud HSM SDK を使用して Azure Cloud HSM クラスターにアクセスします。 管理操作の詳細については、「 Azure Cloud HSM でのユーザー管理」を参照してください。

Azure Cloud HSM SDK には、アプリケーション内で暗号化操作を実行するためのソフトウェアとツールが含まれています。 Azure Cloud HSM では、PKCS#11、OpenSSL、JCE、キー ストレージ プロバイダー (KSP)、Cryptography API: Next Generation (CNG) など、さまざまなインターフェイスがサポートされています。 SDK のツールの範囲により、HSM とのシームレスな対話が可能になります。

Azure Cloud HSM SDK は GitHub からダウンロードできます。 接続方法の詳細については、「 Azure Cloud HSM での認証」を参照してください。

Azure Cloud HSM では、パスワードベースの認証のみがサポートされます。 PIN エントリ デバイス (PED) による認証はサポートされていません。 認証方法の詳細については、「 Azure Cloud HSM での認証」を参照してください。

はい。 リージョン内 の仮想ネットワーク ピアリングを 使用して、仮想ネットワーク間の接続を確立します。 リージョン間接続の場合は、 グローバル仮想ネットワーク ピアリング または VPN ゲートウェイを使用します。 ネットワーク構成の詳細については、「 Azure Cloud HSM のネットワーク セキュリティ」を参照してください。

いいえ。 Azure Cloud HSM はオンプレミスの HSM と直接相互運用することはありませんが、サポートされているいくつかのキー ラップ方法のいずれかを使用して、Azure Cloud HSM とほとんどの商用 HSM の間でエクスポート可能なキーを安全に転送できます。 キー管理の詳細については、「 Azure Cloud HSM でのキー管理」を参照してください。

いいえ。 Azure Cloud HSM クラスターには、仮想ネットワーク内からのみアクセスできます。 サービスの制限事項の詳細については、「 Azure Cloud HSM とは」を参照してください。

いいえ。 Azure Cloud HSM はプライベート IP アドレス空間に直接プロビジョニングされるため、他の Azure または Microsoft サービスはアクセスできません。 サービスの機能と制限の詳細については、「 Azure Cloud HSM とは」を参照してください。

はい。 独自のキーの持ち込み (BYOK) と、キーのエクスポート (キー ラップ) を許可するオンプレミス HSM を使用する方法は複数あります。 キーのインポート操作の詳細については、「 Azure Cloud HSM でのキー管理」を参照してください。

いいえ。 Azure Cloud HSM サービスでは、機能モジュールはサポートされていません。 サービス機能の詳細については、 Azure Cloud HSM サービスの制限に関するページを参照してください。

いいえ。 アップロード後にパーティション所有者証明書を変更することはできません。 エラー PO.crt アップロードした場合は、Azure Cloud HSM リソースを削除して、もう一度デプロイする必要があります。

いいえ。 バックアップはアクティブ化された状態であるため、ソースの Azure Cloud HSM リソースに復元することはできません。 バックアップ操作と復元操作の詳細については、「 Azure Cloud HSM でのバックアップと復元」を参照してください。

いいえ。 Azure Cloud HSM では、ソース HSM または既にアクティブ化されている Cloud HSM リソースへのバックアップの復元はサポートされていません。 それ以外の場合、復元操作は失敗し、移行先の Cloud HSM リソースが非機能状態になります。 復元プロセスの詳細については、「 Azure Cloud HSM の復元ガイドライン」を参照してください。

はい。 バックアップ先の Cloud HSM リソースがアクティブ化された状態でない場合は、任意のリージョンの別の Azure Cloud HSM リソースにバックアップを復元できます。 リージョン間の復元の詳細については、 Azure Cloud HSM のリージョン間の復旧に関するページを参照してください。

いいえ。 Azure Cloud HSM クラスターごとに許可されるマネージド ID は 1 つだけです。 ID とアクセス管理の詳細については、「 マネージド ID の適用とストレージ アカウントの作成」を参照してください。

はい。 必要なロールベースのアクセス制御 (RBAC) ロールの最小ロールは、ストレージ BLOB データ共同作成者です。 ソースを読み取り専用として制限できますが、宛先に対する読み取り/書き込みアクセス許可が必要です。 アクセス制御の詳細については、「 マネージド ID の適用とストレージ アカウントの作成」を参照してください。

いいえ。 Azure Cloud HSM では、1 つのテナントとして HSM への排他的な管理アクセス権を持つことができます。 サービス アーキテクチャの詳細については、「 Azure Cloud HSM とは」を参照してください。

いいえ。 Microsoft は、お客様が割り当てた HSM に格納されているキーにアクセスすることはできません。 セキュリティ制御の詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

Azure Cloud HSM のアーキテクチャでは、職務の分離とロールベースのアクセス制御が基本原則です。 Microsoft では、アプライアンス ユーザーとしての独自の制限付きロールを除き、お客様が割り当てた HSM を暗号化で制御したり、HSM のユーザーを制御したりすることはありません。

Microsoft では、HSM へのアクセス許可が制限されています。 これらのアクセス許可を使用すると、正常性と可用性の監視、メンテナンス、暗号化されたバックアップ、変更できない監査ログの抽出と公開を顧客の指定されたストレージに行えます。 これらのアクセス許可では、暗号化ユーザーが所有するキーを Microsoft が使用して暗号化操作を実行することはできません。 操作ログの詳細については、「 Azure Cloud HSM の操作イベント ログの構成とクエリ」を参照してください。

いいえ。Azure Cloud HSM は顧客データを保持しません。 すべての重要な資料とデータは、顧客の HSM 内に格納されます。 各 Azure Cloud HSM クラスターは、管理制御を持つ 1 人の顧客専用に指定されます。 データ保護の詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

はい。Azure Cloud HSM には、FIPS 140-3 レベル 3 標準を満たすように検証された HSM が用意されています。 NIST からの FIPS 140-3 レベル 3 認定の確認など、HSM の信頼性を確認する手順については、オンボード ガイドを参照してください。 コンプライアンスの詳細については、「 Azure Cloud HSM とは」を参照してください。

はい。 Azure Cloud HSM では、セキュリティで保護されたキー管理、暗号化操作、FIPS 140-3 レベル 3 で検証されたハードウェアを提供することで、オーストリアのスキームに基づく eIDAS コンプライアンスをサポートし、認定された電子署名とシールの厳格な要件を満たし、規制コンプライアンスを確保します。 詳細については、 QSCD 証明書を参照してください。 セキュリティ標準の詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

Azure Cloud HSM には、ハードウェアのキー削除 (ゼロ化) を開始する物理的および論理的な改ざん検出と応答メカニズムの両方が組み込まれています。 これらの対策は、物理的な障壁が侵害された場合に改ざんを検出するように設計されています。

さらに、HSM はブルート フォース サインイン攻撃から保護されます。 システムは、一連の失敗したアクセス試行の後に、暗号役員 (CO) をロックアウトします。 同様に、暗号化ユーザー (CU) 資格情報を使用して HSM にアクセスしようとすると、ユーザーがロックアウトされます。 その後、CO は CU のロックを解除する必要があります。 CO のロックを解除するには、 getChallenge し、OpenSSL を使用して PO.key を使用してチャレンジに署名し、その後に unlockCO コマンドと changePswd コマンドを実行する必要があります。 セキュリティ機能の詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

Microsoft は、Azure Cloud HSM のすべてのサポートを容易にします。 ハードウェア、ソフトウェア、HSM 構成、またはネットワーク アクセスに関連する問題が発生した場合は、Microsoft にサポートリクエストを送信してください。 一般的な問題と解決策の詳細については、「 Azure Cloud HSM のトラブルシューティング」を参照してください。

Azure データセンターには、広範な物理的および手続き型のセキュリティ制御があります。 さらに、Azure Cloud HSM の HSM はデータセンターの制限付きアクセス領域でホストされ、物理的なアクセス制御とビデオ監視によってセキュリティが強化されます。 物理的なセキュリティの詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

いいえ。 Microsoft はキーまたは資格情報にアクセスできないため、資格情報を失った場合はキーを回復できません。 資格情報管理の詳細については、「 Azure Cloud HSM でのユーザー管理」を参照してください。

いいえ。ただし、必要なアップグレードや障害のあるハードウェアのメンテナンスは、Microsoft が実行する必要がある場合があります。 影響が予想される場合は、事前にお客様に通知します。 運用上の考慮事項の詳細については、「 Azure Cloud HSM のデプロイをセキュリティで保護する」を参照してください。

サービス レベル アグリーメントについては、 オンライン サービスのサービス レベル アグリーメント (SLA) を参照してください。 サービスの信頼性の詳細については、「 Azure Cloud HSM とは」を参照してください。