Azure Key Vault Managed HSM は、暗号化キーを保護するクラウドベースのハードウェア セキュリティ モジュールです。 Managed HSM は機密性の高いデータやビジネスクリティカルなデータを保護するためによく使用されるため、HSM へのアクセスをセキュリティで保護し、セキュリティのベスト プラクティスに従って構成し、脅威を監視することが重要です。
この記事では、Azure Key Vault Managed HSM デプロイを最適にセキュリティで保護する方法に関するガイダンスを提供します。
ネットワークのセキュリティ
ネットワーク セキュリティでは、セキュリティで保護されたネットワーク接続、プライベート エンドポイント、およびネットワーク アクセス制御を使用して Managed HSM を保護します。 これは、パブリック ネットワークへの HSM の露出を減らし、承認されたトラフィックのみが許可されるようにするのに役立ちます。
Azure Private Link を使用してプライベート エンドポイントをデプロイする: プライベート エンドポイントを使用して、Managed HSM インスタンスへのプライベートでセキュリティで保護された接続を確立し、パブリック インターネットへの露出を防ぎ、攻撃ベクトルを減らします。 詳細については、「 Managed HSM と Azure Private Link の統合」を参照してください。
パブリック ネットワーク アクセスを無効にする: Managed HSM 構成でパブリック ネットワーク アクセスを無効にすることで、パブリック IP アドレスからサービスへのアクセスを禁止します。 詳細については、「 Managed HSM と Azure Private Link の統合」を参照してください。
ID 管理
ID 管理では、マネージド HSM リソースへの認証と ID アクセスのセキュリティ保護に重点を置いています。 Microsoft Entra は、HSM の管理プレーンとデータ プレーンへのアクセスを管理するための一元化された ID ソリューションを提供します。
データ プレーン アクセスに Microsoft Entra 認証を必要とする: Microsoft Entra は、Managed HSM でデータ プレーン操作を認証するために既定で使用され、一元的で安全な ID 制御を有効にします。 詳細については、Microsoft Entra 認証に関するページを参照してください。
セキュリティで保護されたアプリケーション アクセスにマネージド ID を使用する: マネージド ID は既定で有効になっており、アプリケーションは資格情報を格納せずに Managed HSM に対して認証できます。 詳細については、「 Microsoft Entra マネージド ID」を参照してください。
必要に応じてサービス プリンシパルを使用して認証する: 自動化されたシナリオとワークロード ベースのアクセスにサービス プリンシパルを使用します。 詳細については、「 マネージド HSM ロール管理」を参照してください。
条件付きアクセス ポリシーを使用してアクセスを制御する: Microsoft Entra で条件付きアクセス ポリシーを定義し、ユーザー リスク、場所、デバイスコンプライアンスなどの条件に基づいてアクセスを制限します。 詳細については、「 条件付きアクセス」を参照してください。
管理アクセスにセキュリティ グループを使用する: 個々のユーザーではなく、HSM 管理者ロールを Microsoft Entra セキュリティ グループ に割り当てます。 これにより、ユーザー アカウントが削除された場合に誤ってロックアウトされるリスクが軽減されます。 ガイダンスについては、 Managed HSM のアクセス制御に関するページを参照してください。
特権アクセス
特権アクセスでは、管理アクションをセキュリティで保護し、最小限の特権アクセス原則を適用して、承認されていないアクセス許可や過剰なアクセス許可のリスクを軽減することを重視します。
サブスクリプションとリソース グループへのアクセスをロックダウンする: Azure RBAC を使用して、管理グループ、サブスクリプション、およびリソース グループ のレベルで管理アクセスを制御します。 ガイダンスについては、 Azure RBAC の概要を参照してください。
ロールを割り当てるときに最小特権アクセス原則を使用する: 必要な最小限のアクセス許可セットのみを付与します。 ロールの割り当てを定期的に確認します。 詳細については、「 マネージド HSM ロール管理」を参照してください。
同じ ID に複数のロールを割り当てないようにする: 1 人のユーザーまたは ID に競合するロールが割り当てられないようにすることで、職務の分離を維持します。 詳細については、「 Managed HSM のアクセス制御」を参照してください。
正確なアクセス許可を持つカスタム ロールを作成する: セキュリティで保護されたアクセス許可セットを維持しながら、特定のアクセス要件を満たすようにカスタム ロールを定義します。 詳細については、「 Managed HSM のアクセス制御」を参照してください。
ローカル RBAC を使用してキーごとのロールの割り当てを作成する: Managed HSM のローカル RBAC モデルを使用して、個々のキー レベルでアクセスを制御します。 詳細については、 Managed HSM のローカル RBAC に関するページを参照してください。
管理者ロールに対して Privileged Identity Management (PIM) を有効にする: Microsoft Entra Privileged Identity Management を使用して Just-In-Time アクセスを適用し、継続的な管理特権のリスクを軽減します。 詳細については、「 Managed HSM のアクセス制御: Privileged Identity Management」を参照してください。
ログ記録と脅威の検出
ログ記録と脅威検出は、Managed HSM のアクセスと操作を監視するのに役立ちます。これにより、疑わしいアクティビティを検出し、セキュリティ ポリシーへの準拠を確保できます。
監査ログを有効にする: 診断設定を構成して、Managed HSM の監査ログを有効にします。 ログには、認証されたすべての REST API 要求、キー操作、およびセキュリティ ドメイン アクションがキャプチャされます。 ログは、Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs に送信できます。 詳細については、「 Managed HSM のログ記録」を参照してください。
Azure Monitor を使用したログの分析: Azure Monitor を使用して、Managed HSM からログを収集および分析します。 ログは Log Analytics を使用してクエリを実行し、ダッシュボードまたはブックで視覚化できます。 詳細については、「 Azure Managed HSM の監視」を参照してください。
コンプライアンスと調査のためにログを保持する: コンプライアンス要件を満たし、フォレンジック調査をサポートするために、ログが適切な期間保持されていることを確認します。 Azure Monitor Log Analytics の保持ポリシーを使用して、ログ ストレージを管理します。 詳細については、「Azure Monitor でのログの保持」を参照してください。
重大なイベントのアラートを設定する: アクセス試行の失敗や異常なアクティビティなど、重大なイベントを通知するようにアラートを構成します。 Azure Monitor を使用して、メトリックまたはログ クエリに基づいて静的または動的なアラート ルールを作成します。 詳細については、「 Managed HSM アラートの構成」を参照してください。
Microsoft Sentinel との統合: Microsoft Sentinel を使用して、潜在的な脅威を検出して対応します。 Microsoft Sentinel を設定して、Managed HSM ログを監視し、機密性の高い操作用のカスタム分析ルールを作成します。 詳細については、「 Azure Managed HSM 用の Microsoft Sentinel の設定」を参照してください。
バックアップと回復
バックアップと回復は、適切なバックアップと保持ポリシーを確保することで、偶発的または悪意のあるデータ損失から保護するのに役立ちます。
通常の HSM とキー レベルのバックアップを作成する: データの損失を防ぐために、HSM と個々のキーのバックアップをスケジュールします。 詳細については、「 完全バックアップと復元」を参照してください。
ディザスター リカバリーの準備: 致命的な障害が発生した場合に備えて、ディザスター リカバリー手順に従って HSM をレプリケートします。 HSM を復元するためのセキュリティ ドメイン、秘密キー、最新のバックアップがあることを確認します。 詳細については、 ディザスター リカバリー ガイドを参照してください。
消去保護を有効にする: 保持期間が切れる前に HSM またはそのキーが完全に削除されないように、消去保護を有効にします。 詳細については、ソフト削除の概要を参照してください。
論理的に削除されたリソースを保持する: 論理的な削除は既定で有効になっています。 削除されたアイテムを回復できる 7 ~ 90 日間の保持期間を選択します。 詳細については、「論理的な削除」に関する記事を参照してください。
セキュリティ ドメインを保護して暗号化ロックアウトを防ぐ: セキュリティ ドメインとそのキーを管理するためのベスト プラクティスに従って、ビジネス継続性を確保し、未承認のアクセスを防ぎます。 詳細については、「 セキュリティ ドメインの概要」を参照してください。
体制と脆弱性の管理
体制と脆弱性の管理では、ポリシー適用ツールを使用して環境全体のセキュリティ コンプライアンスを維持する方法に関するガイダンスが提供されます。
- Azure Policy を使用して構成コンプライアンスを適用する: セキュリティで保護されていない構成を監査またはブロックする Azure Policy ルールを定義して適用します。 詳細については、「 Azure Managed HSM と Azure Policy の統合」を参照してください。