暗号化された通信や運用プロセスなど、Azureの技術的な保護策は、データのセキュリティ保護に役立ちます。 また、追加の暗号化機能を実装し、独自の暗号化キーを管理する柔軟性もあります。 Microsoft では、お客様の構成に関係なく、Azure内の顧客データを保護するために暗号化を適用します。 Microsoft では、暗号化キーの暗号化、制御、管理、データへのアクセスの制御と監査を行うさまざまな高度なテクノロジを使用して、Azureでホストされているデータを制御することもできます。 さらに、Azure Storage には、開発者がセキュリティで保護されたアプリケーションを構築できるようにする包括的なセキュリティ機能セットが用意されています。
Azureには、ある場所から別の場所に移動するデータを保護するための多くのメカニズムが用意されています。 Microsoft では、クラウド サービスと顧客の間を移動するときに TLS を使用してデータを保護します。 Microsoft のデータ センターは、Azure サービスに接続するクライアント システムと TLS 接続をネゴシエートします。 Forward Secrecy (FS) は、顧客のクライアント システムと Microsoft のクラウド サービス間の接続を一意のキーで保護します。 接続では、RSA ベースの 2,048 ビット暗号化キーの長さも使用されます。 この組み合わせにより、転送中のデータを傍受してアクセスすることが困難になります。
クライアント側の暗号化、HTTPS、または SMB 3.0 を使用して、アプリケーションとAzure間の転送中にデータをセキュリティで保護できます。 独自の仮想マシン (VM) とユーザーの間のトラフィックに対して暗号化を有効にすることができます。 Azure仮想ネットワークを使用すると、業界標準の IPsec プロトコルを使用して、企業の VPN ゲートウェイとAzure間のトラフィックと、Virtual Network上にある VM 間のトラフィックを暗号化できます。
保存データの場合、Azureには AES-256 のサポートなど、多くの暗号化オプションが用意されており、ニーズに最適なデータ ストレージ シナリオを選択できます。 ストレージ サービス暗号化 (SSE) を使用して Azure Storage に書き込むと、データが自動的に暗号化され、VM で使用されるオペレーティング システムディスクとデータ ディスクを暗号化できます。 詳細については、「Azureでの Windows 仮想マシンのセキュリティに関する推奨事項」を参照してください。 さらに、Azure Storage 内のデータ オブジェクトへの委任されたアクセスは、Shared Access Signatures を使用して付与できます。 Azureでは、Azure SQL Database と Data Warehouse の Transparent Data Encryption を使用した保存データの暗号化も提供されます。
Azureでの暗号化の詳細については、「Azure暗号化の概要」と「Azure Data Encryption-at-Rest」を参照してください。
ディスク暗号化のAzure
Azure Disk Encryption を使用すると、Windows と Linux サービスとしてのインフラストラクチャ (IaaS) VM ディスクを暗号化できます。 Azure Disk Encryption では、Windows の BitLocker 機能とLinuxの DM-Crypt 機能を使用して、オペレーティング システムとデータ ディスクのボリューム レベルの暗号化を提供します。 また、VM ディスク上のすべてのデータが、Azure ストレージ内の保存時に暗号化されます。 Azure Disk Encryption は、暗号化キーとシークレットの使用を制御、管理、監査するのに役立つAzure Key Vaultと統合されています。
詳細については、「Azureでの Windows 仮想マシンのセキュリティに関する推奨事項」を参照してください。
Azure Storage サービス暗号化
Azure Storage Service Encryption を使用すると、Azure Storage はデータをストレージに保持する前に自動的に暗号化し、取得前にデータを復号化します。 暗号化、暗号化解除、およびキー管理プロセスは、ユーザーに対して完全に透過的です。 Azure Storage Service Encryption は、Azure Blob StorageとAzure Filesに使用できます。 また、Azure Storage Service Encryption で Microsoft が管理する暗号化キーを使用することも、独自の暗号化キーを使用することもできます。 (独自のキーの使用については、Azure Key Vaultのカスタマー マネージド キーを使用した Storage Service Encryption に関するページを参照してください。Microsoft で管理されるキーの使用については、「保存データのストレージ サービス暗号化」を参照してください)。さらに、暗号化の使用を自動化できます。 たとえば、Azure ストレージ リソース プロバイダー REST API、.NET 用ストレージ リソース プロバイダー クライアント ライブラリ、Azure PowerShell、または Azure CLI を使用して、ストレージ アカウントで Storage Service Encryption をプログラムで有効または無効にすることができます。
一部の Microsoft 365 サービスでは、データの格納にAzureを使用します。 たとえば、SharePoint Online と OneDrive for Business は、Azure Blob Storage にデータを格納し、Microsoft Teamsはチャット サービスのデータをテーブル、BLOB、キューに格納します。 さらに、Microsoft Purview ポータルのコンプライアンス マネージャー機能では、グローバルに分散されたマルチモデル データベースである Cosmos DB (サービスとしてのプラットフォーム (PaaS) Azureに、お客様が入力したデータが暗号化された形式で格納されます。 Azure Storage Service Encryption は、Azure Blob Storage とテーブルに格納されているデータを暗号化し、Azure Disk Encryption では、キュー内のデータと Windows および IaaS 仮想マシン ディスクが暗号化され、オペレーティング システムとデータ ディスクのボリューム暗号化が提供されます。 このソリューションにより、仮想マシン ディスク上のすべてのデータが、Azure ストレージ内の保存時に暗号化されます。 Azure Cosmos DB の保存時の暗号化は、セキュリティで保護されたキー ストレージ システム、暗号化されたネットワーク、暗号化 API など、いくつかのセキュリティ テクノロジを使用して実装されます。
Azure Key Vault
セキュリティで保護されたキー管理は、暗号化のベスト プラクティスの中核となるだけではありません。クラウド内のデータを保護するためにも不可欠です。 Azure Key Vaultを使用すると、ハードウェア セキュリティ モジュール (HSM) に格納されているキーを使用するキーやパスワードなどの小さなシークレットを暗号化できます。 Azure Key Vaultは、クラウド サービスで使用される暗号化キーへのアクセスを管理および制御するための Microsoft 推奨ソリューションです。 アクセス キーへのアクセス許可は、サービスまたはMicrosoft Entra アカウントを持つユーザーに割り当てることができます。 Azure Key Vaultは、組織が HSM とキー管理ソフトウェアを構成、修正、保守する必要を軽減します。 Azure Key Vaultでは、Microsoft はキーを表示せず、アプリケーションはそれらに直接アクセスできません。制御を維持します。 HSM でキーをインポートまたは生成することもできます。 Microsoft Purview Information Protectionを含むサブスクリプションを持つ組織は、カスタマー マネージド キー Bring Your Own Key (BYOK) を使用するように、Azure Rights Management サービスのルート キーを構成し、その使用状況をログに記録できます。