Azure Key Vault Managed HSM とは

Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) は、フル マネージド、高可用性、シングル テナント、標準準拠を特徴とするクラウド サービスで、FIPS 140-2 レベル 3 適合の HSM を使用してクラウド アプリケーションの暗号化キーを保護することができます。 これは、Azure の主要な管理ソリューションの 1 つです。

価格情報については、Azure Key Vault の価格に関するページの「マネージド HSM プール」セクションを参照してください。 サポートされているキーの種類については、「キーについて」を参照してください。

「マネージド HSM インスタンス」 という用語は、「マネージド HSM プール」 の同義語です。 混乱を避けるために、これらの記事では「マネージド HSM インスタンス」 という用語を使用します。

Note

ゼロ トラストは、"明示的に検証する"、"最小限の特権アクセスを使用する"、"侵害を想定する" の 3 つの原則で構成されるセキュリティ戦略です。 キー管理を含むデータ保護では、"最小限の特権アクセスを使用する" 原則がサポートされています。 詳細については、「ゼロ トラストとは」を参照してください

Managed HSM を使用する理由

フル マネージド、高可用性、シングル テナントのサービスとしての HSM

• フル マネージド: HSM のプロビジョニング、構成、パッチ適用、メンテナンスはサービスによって管理されます。
• 高可用性: 各 HSM クラスターは、複数の HSM パーティションで構成されます。 ハードウェアに障害が発生すると、HSM クラスターのメンバー パーティションが自動的に正常なノードに移行されます。 詳しくは、マネージド HSM のサービス レベル アグリーメントに関するページをご覧ください
• シングルテナント: 各 Managed HSM インスタンスはお客様ごとに確保され、複数の HSM パーティションのクラスターから成ります。 各 HSM クラスターでは、個々のお客様を対象としたセキュリティ ドメインが使用され、お客様ごとに HSM クラスターが暗号的に分離されます。

アクセスの制御、強化されたデータ保護とコンプライアンス

• キーの集中管理: 組織のいたるところにあるきわめて重要で価値の高いキーが一元管理されます。 粒度の細かいキーごとのアクセス許可により、各キーに対するアクセスが "最低特権アクセス" の原則で管理されます。
• 分離されたアクセスの制御: Managed HSM の "ローカル RBAC" アクセス制御モデルにより、指定された HSM クラスタ アドミニストレーターには、HSM に対する完全な制御権が与えられます。その権限は、管理グループやサブスクリプション管理者、リソース グループ管理者でもオーバーライドできません。
• プライベート エンドポイント: プライベート エンドポイントを使用して、仮想ネットワークで実行されているアプリケーションから Managed HSM に安全かつプライベートに接続します。
• FIPS 140-2 レベル 3 適合の HSM: FIPS (Federal Information Protection Standard) 140-2 レベル 3 適合の HSM によってデータを保護し、コンプライアンス要件を満たすことができます。 Managed HSM には、Marvell LiquidSecurity の HSM アダプターが使用されます。
• 監視と監査: Azure Monitor と完全に統合されます。 すべてのアクティビティの完全なログを Azure Monitor 経由で取得できます。 分析とアラートには Azure Log Analytics を使用できます。
• データ所在地: マネージド HSM では、お客様が HSM インスタンスをデプロイするリージョンの外部で顧客データが格納または処理されることはありません。

Azure と Microsoft PaaS (または SaaS) サービスとの統合

• キーを生成 (または BYOK を使用してインポート) し、それらを使用して、Azure Storage、Azure SQL、Azure Information Protection、Customer Key for Microsoft 365 など、Azure サービスの保存データを暗号化できます。 マネージド HSM で動作する Azure サービスの詳細な一覧については、「データ暗号化モデル」を参照してください。

Key Vault と同じ API と管理インターフェイスを使用する

• ボールト（マルチテナント）を使用する既存のアプリケーションを簡単に移行して、マネージドHSMを使用できます。
• 使用されているキー管理ソリューション (マルチテナントボールドまたはシングル テナントのマネージド HSM) に関係なく、すべてのアプリケーションに同じアプリケーション開発およびデプロイ パターンを使用できます。

オンプレミスの HSM からキーをインポートする

• HSM で保護されたキーをオンプレミス HSM で生成し、それらをマネージド HSM に対して安全にインポートすることができます。

次のステップ

• Azure でのキー管理
• 技術的な詳細については、マネージド HSM がキー主権、可用性、パフォーマンス、スケーラビリティをトレードオフなしで実装する方法に関する記事を参照してください。
• 「クイック スタート:Azure CLI を使用してマネージド HSM をプロビジョニングしてアクティブにする」を参照して、マネージド HSM を作成してアクティブにします。
• Azure Managed HSM のセキュリティ ベースライン
• Azure Key Vault Managed HSM を使用しているときのベスト プラクティスに関するページを参照してください。
• Managed HSM の状態
• Managed HSM のサービス レベル アグリーメント
• Managed HSM リージョンの可用性
• ゼロ トラストとは