Azure Key Vault Managed HSM とは

重要

現在、Azure Key Vault マネージド HSM と Azure Key Vault Premium の両方について、HSM フリートを FIPS 140-3 レベル 3 検証済みファームウェアに更新しています。 詳細については、マネージド HSM ファームウェアの更新によるセキュリティとコンプライアンスの強化に関する記事を参照してください。

Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) は、フル マネージド、高可用性、シングル テナント、標準準拠を特徴とするクラウド サービスで、FIPS 140-2 レベル 3 適合の HSM を使用してクラウド アプリケーションの暗号化キーを保護することができます。 これは、Azure の主要な管理ソリューションの 1 つです。

価格情報については、Azure Key Vault の価格ページでマネージド HSM プールのセクションを参照してください。 サポートされているキーの種類については、「キーについて」を参照してください。

「マネージド HSM インスタンス」 という用語は、「マネージド HSM プール」 の同義語です。 混乱を避けるために、これらの記事では「マネージド HSM インスタンス」 という用語を使用します。

Note

ゼロ トラストは、"明示的に検証する"、"最小限の特権アクセスを使用する"、"侵害を想定する" の 3 つの原則で構成されるセキュリティ戦略です。 キー管理を含むデータ保護では、"最小限の特権アクセスを使用する" 原則がサポートされています。 詳細については、「ゼロ トラストとは」を参照してください

Managed HSM を使用する理由

フル マネージド、高可用性、シングル テナントのサービスとしての HSM

• フル マネージド: このサービスにより、HSM のプロビジョニング、構成、パッチ適用、およびメンテナンスを処理できます。
• 高可用性: 各 HSM クラスターは、複数の HSM パーティションで構成されます。 ハードウェアに障害が発生すると、HSM クラスターのメンバー パーティションが自動的に正常なノードに移行されます。 詳しくは、マネージド HSM のサービス レベル アグリーメントに関するページをご覧ください
• シングルテナント: 各 Managed HSM インスタンスはお客様ごとに確保され、複数の HSM パーティションのクラスターから成ります。 各 HSM クラスターでは、個々のお客様を対象としたセキュリティ ドメインが使用され、お客様ごとに HSM クラスターが暗号的に分離されます。

アクセスの制御、強化されたデータ保護とコンプライアンス

• キーの集中管理: 組織のいたるところにあるきわめて重要で価値の高いキーが一元管理されます。 粒度の細かいキーごとのアクセス許可により、各キーに対するアクセスが "最低特権アクセス" の原則で管理されます。
• 分離されたアクセスの制御: Managed HSM の "ローカル RBAC" アクセス制御モデルにより、指定された HSM クラスタ アドミニストレーターには、HSM に対する完全な制御権が与えられます。その権限は、管理グループやサブスクリプション管理者、リソース グループ管理者でもオーバーライドできません。
• プライベート エンドポイント: プライベート エンドポイントを使用して、仮想ネットワークで実行されているアプリケーションから Managed HSM に安全かつプライベートに接続します。
• FIPS 140-2 レベル 3 適合の HSM: FIPS (Federal Information Protection Standard) 140-2 レベル 3 適合の HSM によってデータを保護し、コンプライアンス要件を満たすことができます。 Managed HSM には、Marvell LiquidSecurity の HSM アダプターが使用されます。
• 監視と監査: Azure Monitor と完全に統合されます。 すべてのアクティビティの完全なログを Azure Monitor 経由で取得できます。 分析とアラートには Azure Log Analytics を使用できます。
• データ所在地: マネージド HSM では、お客様が HSM インスタンスをデプロイするリージョンの外部で顧客データが格納または処理されることはありません。

Azure と Microsoft PaaS (または SaaS) サービスとの統合

• キーを生成 (または BYOK を使用してインポート) し、それらを使用して、Azure Storage、Azure SQL、Azure Information Protection、Customer Key for Microsoft 365 など、Azure サービスの保存データを暗号化できます。 マネージド HSM で動作する Azure サービスの詳細な一覧については、「データ暗号化モデル」を参照してください。

Key Vault と同じ API と管理インターフェイスを使用する

• 資格情報コンテナー (マルチテナント) を使用する既存のアプリケーションを簡単に移行して、マネージド HSM を使用できます。
• 使用されているキー管理ソリューション (マルチテナント コンテナーまたはシングル テナントのマネージド HSM) に関係なく、すべてのアプリケーションに同じアプリケーション開発およびデプロイ パターンを使用できます。

オンプレミスの HSM からキーをインポートする

• HSM で保護されたキーをオンプレミス HSM で生成し、それらをマネージド HSM に対して安全にインポートすることができます。

次のステップ

• Azure でのキー管理
• 技術的な詳細については、マネージド HSM がキー主権、可用性、パフォーマンス、スケーラビリティをトレードオフなしで実装する方法に関する記事を参照してください。
• 「クイック スタート:Azure CLI を使用してマネージド HSM をプロビジョニングしてアクティブにする」を参照して、マネージド HSM を作成してアクティブにします。
• Azure Managed HSM のセキュリティ ベースライン
• Azure Key Vault Managed HSM を使用しているときのベスト プラクティスに関するページを参照してください。
• Managed HSM の状態
• Managed HSM のサービス レベル アグリーメント
• Managed HSM リージョンの可用性
• ゼロ トラストとは