Azure Managed HSM は、クラウド アプリケーションに FIPS 140-3 レベル 3 で検証された暗号化キー保護を提供する、フル マネージドの高可用性シングルテナント ハードウェア セキュリティ モジュール (HSM) サービスです。 Managed HSM は最も機密性の高い暗号化キーとシークレットを保護するため、脅威から保護し、ビジネス継続性を維持するために、包括的なセキュリティ制御を実装することが不可欠です。
この記事のセキュリティに関する推奨事項では、ゼロ トラストの原則 ("明示的に確認する"、"最小限の特権アクセスを使用する"、"侵害を想定する") が実装されています。 包括的なゼロ トラスト ガイダンスについては、 ゼロ トラスト ガイダンス センターを参照してください。
この記事では、Azure Managed HSM のデプロイを保護するためのセキュリティに関する推奨事項について説明します。
ネットワークのセキュリティ
ネットワーク セキュリティは、セキュリティで保護された接続とネットワーク アクセス制御によってマネージド HSM を保護します。 これらのネットワーク セキュリティ機能は、最も制限された機能から最も制限されていない機能の順にリストされます。 組織のユース ケースに最も適した構成を選択します。 すべてのネットワーク セキュリティ構成の詳細については、「 Azure Key Vault Managed HSM のネットワーク セキュリティ」を参照してください。
パブリック ネットワーク アクセスを無効にし、プライベート エンドポイントのみを使用する: Azure Private Link をデプロイし、仮想ネットワークにプライベート エンドポイントを作成して、マネージド HSM インスタンスへのプライベートでセキュリティで保護された接続を確立します。 パブリック ネットワーク アクセスを無効にすると、パブリック ネットワーク アクセスを拒否するように Managed HSM を構成することで、パブリック IP アドレスからのアクセスを防ぐことができます。 これにより、パブリック インターネットへの露出が防止され、すべてのトラフィックが Microsoft バックボーン ネットワーク経由でルーティングされます。 「Managed HSM と Azure Private Link の統合」を参照してください。
信頼されたサービスを使用して Managed HSM ファイアウォールを構成する: シナリオで必要な場合は、
--bypass AzureServices設定を使用して特定の信頼された Azure サービスを許可しながら、パブリック インターネット アクセスを拒否するように Managed HSM ファイアウォール規則を構成します。 これにより、必要なサービス統合を維持しながら攻撃対象領域が制限されます。 詳細については、「ネットワーク セキュリティ: Managed HSM Firewall Enabled (Trusted Services)」を参照してください。IP ネットワーク ファイアウォールを有効にする: ネットワーク シナリオで制御されたパブリック アクセスが必要な場合は、パブリック静的 IP アドレスへのアクセスを制限します。 詳細については、「ネットワーク セキュリティ: Managed HSM Firewall Enabled (IP Network Firewall)」を参照してください。
詳細な構成手順については、「 Azure Managed HSM のネットワーク設定を構成する方法」を参照してください。
ID およびアクセス管理
ID とアクセスの管理により、Managed HSM リソースに対する認証と承認がセキュリティで保護されます。 Managed HSM では、コントロール プレーンとデータ プレーンの操作に異なる承認システムを持つデュアルプレーン アクセス モデルが使用されます。
データ プレーン アクセスに Managed HSM ローカル RBAC を実装する: Managed HSM ローカル RBAC を使用して、HSM 内のキーと暗号化操作へのアクセスを制御します。 この承認システムは、Azure RBAC とは独立して動作し、キー操作、ロールの割り当て、およびセキュリティ ドメイン管理に対する詳細なアクセス許可を提供します。 Managed HSM のアクセス制御に関するページを参照してください。
アプリケーション アクセスのマネージド ID を有効にする: コードまたは構成ファイルに資格情報を格納せずに、マネージド HSM に対して認証を行うアプリケーションのシステム割り当てマネージド ID またはユーザー割り当てマネージド ID を構成します。 マネージド ID は Microsoft Entra ID と統合され、資格情報のローテーションが自動的に処理されます。 Managed HSM のアクセス制御に関するページを参照してください。
適切なスコープで最小特権アクセスを適用する: 広範なアクセスに対する HSM レベル (
/または/keys) または特定のキー アクセス用のキー レベル (/keys/<key-name>) のいずれか、必要な最も制限の厳しいスコープでアクセス許可を付与します。 必要な操作に基づいて、Managed HSM Crypto Officer、Managed HSM Crypto User、Managed HSM Crypto Auditor などの組み込みロールを使用します。 Managed HSM のアクセス制御に関するページを参照してください。HSM 管理者ロールをセキュリティ グループに割り当てる: ユーザー アカウントが削除された場合に誤ってロックアウトされないように、個々のユーザーではなく、HSM 管理者ロールを Microsoft Entra セキュリティ グループに付与します。 この方法により、アクセス許可の管理が簡素化され、HSM プロビジョニング プロセス中の管理アクセスの継続性が確保されます。 Managed HSM のアクセス制御に関するページを参照してください。
管理者ロールに対して Privileged Identity Management を有効にする: Microsoft Entra Privileged Identity Management (PIM) を使用して、Managed HSM 管理者などの高い特権ロールに Just-In-Time アクセスを適用します。 PIM は、継続的な管理特権のリスクを軽減し、昇格されたアクセスの承認ワークフローを提供します。 Managed HSM のアクセス制御に関するページを参照してください。
コントロール プレーンとデータ プレーンのアクセスを分離する: HSM リソースを管理するためのコントロール プレーン アクセス (Azure RBAC) では、キーへのデータ プレーン アクセスが許可されないことを理解します。 キー操作を実行する必要があるユーザーに、Managed HSM ローカル RBAC を使用してデータ プレーン ロールを明示的に割り当てます。 Managed HSM のアクセス制御に関するページを参照してください。
データ保護
データ保護は、暗号化、キー管理ポリシー、およびセキュリティで保護されたストレージ プラクティスを通じて、Managed HSM に格納されている暗号化キーと機密データを保護します。 適切なデータ保護により、重要な素材の機密性と改ざんに対する耐性が維持されます。
セキュリティ ドメインの複数ユーザー制御を実装する: 複数の RSA キー ペア (最小 3 つを推奨) でセキュリティ ドメイン クォーラムを構成して、HSM の復旧に対する単一ユーザーの制御を防ぎます。 セキュリティ ドメインの暗号化解除のために複数のキー所有者が共同作業を行う必要があるクォーラムしきい値を指定して、1 人の個人が HSM を侵害されないようにします。 「セキュリティ ドメインの概要」を参照してください。
セキュリティ ドメイン キーをセキュリティで保護された場所にオフラインで保存する: 暗号化されたオフラインのストレージ デバイス (暗号化された USB ドライブなど) のセキュリティ ドメインの秘密キーを、物理的な金庫やロック ボックス内の別の地理的な場所に保存します。 インターネットに接続されたコンピューターにセキュリティドメインキーを保存しないことで、サイバー脅威にさらされるリスクを軽減し、物理的に分離されたセキュリティを確保してください。 「セキュリティ ドメインの概要」を参照してください。
セキュリティ ドメイン キー管理手順を確立する: 人事変更が発生したとき、またはキーが侵害される可能性がある場合に、セキュリティ ドメイン キーの保管を定期的に確認するためのポリシーを実装します。 セキュリティドメイン所有者の責任を文書化し、重要な場所と管理の正確な記録を保持し、ディザスターリカバリーシナリオのためにクォーラムを確実に組み立てられるようにします。 「セキュリティ ドメインの概要」を参照してください。
HSM とキーの消去保護を有効にする: 保持期間が切れる前に HSM または個々のキーが完全に削除されないように消去保護を構成します。 このコントロールは、偶発的または悪意のある削除から保護し、重要な操作の回復期間を提供します。 ソフト削除の概要を参照してください。
適切な論理的な削除の保持期間を構成する: 回復要件とコンプライアンスのニーズに基づいて、論理的な削除の保持期間を 7 日から 90 日に設定します。 保有期間が長いほど復旧時間は長くなりますが、データ所在地の要件と競合する可能性があります。 ソフト削除の概要を参照してください。
ログ記録と監視
ログ記録と監視により、HSM のアクセス パターンと操作が可視化され、脅威の検出とコンプライアンスレポートが可能になります。 包括的なログ記録は、疑わしいアクティビティを特定するのに役立ち、フォレンジック調査をサポートします。
診断設定を使用して監査ログを有効にする: AzureDiagnostics テーブル内のすべての認証済み REST API 要求、キー操作、およびセキュリティ ドメイン アクションをキャプチャするように診断設定を構成します。 保持と分析の要件に基づいて、Azure Storage アカウント、Log Analytics ワークスペース、または Event Hubs にログをルーティングします。 Managed HSM のログ記録を参照してください。
Azure Monitor と Log Analytics を使用したログ分析: Azure Monitor を使用して、ResourceProvider "MICROSOFT.KEYVAULT" と ResourceType "MANAGEDHSMS" でフィルターする KQL クエリを使用して HSM ログを収集し、分析します。 セキュリティ運用チーム用のカスタム ダッシュボードとブックを作成して、アクセス パターンと主要な使用状況を監視します。 Azure Managed HSM の監視に関するページを参照してください。
重要なセキュリティ イベントのアラートを構成する: HSM の可用性が 100%を下回る、サービス API の待機時間がしきい値を超える、異常なエラー コード パターン、認証試行の失敗などのイベントに対する Azure Monitor アラート ルールを作成します。 静的しきい値と動的しきい値アラートの両方を構成して、セキュリティの可視性を維持しながら誤検知を減らします。 「Managed HSM アラートの構成」を参照してください。
高度な脅威検出のために Microsoft Sentinel と統合する: Microsoft Sentinel をデプロイし、機械学習分析と Managed HSM 操作に固有のカスタム検出ルールを使用して疑わしいアクティビティを自動的に検出します。 セキュリティ ドメインのダウンロード、一括キー操作、異常なアクセス パターンなどの機密性の高い操作の分析ルールを作成します。 「Azure Managed HSM 用の Microsoft Sentinel の設定」を参照してください。
適切なログ保持ポリシーを実装する: コンプライアンス要件を満たし、フォレンジック調査をサポートするログ保持期間を確立します。 Azure Monitor Log Analytics の保持ポリシーを使用して、セキュリティ インシデントに対する十分な調査機能を維持しながら、ストレージ コストを管理します。 Azure Managed HSM の監視に関するページを参照してください。
コンプライアンスとガバナンス
コンプライアンスとガバナンスの制御により、Managed HSM のデプロイは、自動化されたポリシーの適用とコンプライアンスの監視を通じて、規制要件と組織のポリシーを確実に満たすことができます。
キー ガバナンス用に Azure Policy を実装する: "Managed HSM Crypto Auditor" ロールを "Azure Managed HSM キー ガバナンス サービス" (アプリ ID: a1b76039-a76c-499f-a2dd-846b4cc32627) に付与して、Azure Policy コンプライアンス スキャンを有効にします。 次に、キーの有効期限の要件、RSA キーの最小サイズ、楕円曲線アルゴリズムの制限など、セキュリティで保護されたキー構成を監査または適用するポリシー ルールを定義します。 このロールの割り当てがないと、Azure Policy は完全なキー インベントリを評価できません。 Azure Managed HSM と Azure Policy の統合に関するページを参照してください。
キーのライフサイクルと暗号化標準の構成: 組み込みの Azure Policy 定義を使用して、キーの有効期限を適用し、セキュリティ コンプライアンスのために RSA キーの最小サイズを要求し、楕円曲線暗号化を承認済みの曲線名 (P-256、P-256K、P-384、P-521) に制限し、ローテーション手順の有効期限が切れる前にキーに十分な時間があることを確認します。 Azure Managed HSM と Azure Policy の統合に関するページを参照してください。
Azure Policy ダッシュボードを使用してコンプライアンスを監視する: Azure Policy コンプライアンス ダッシュボードを使用して、暗号化セキュリティ標準への準拠を追跡し、修復を必要とする非準拠キーを特定します。 監査と拒否の両方のポリシー効果を設定して、セキュリティ ベースラインの可視性と適用を提供します。 Azure Managed HSM と Azure Policy の統合に関するページを参照してください。
バックアップと回復
バックアップと回復は、データ損失から保護し、適切なバックアップ戦略、ディザスター リカバリー手順、および回復テストを通じてビジネス継続性を実現し、暗号化キーに引き続きアクセスできるようにします。
通常の完全 HSM バックアップを作成する: ハードウェア障害や運用インシデントによるデータ損失を防ぐために、すべてのキー、バージョン、属性、タグ、ロールの割り当てを含む自動完全 HSM バックアップをスケジュールします。 バックアップ操作にユーザー割り当てマネージド ID を使用して、資格情報管理なしでストレージ アカウントへのセキュリティで保護されたアクセスを有効にします。 完全バックアップと復元を参照してください。
重要なキーの個々のキー レベルのバックアップを実装する:
az keyvault key backupコマンドを使用して高価値キーの選択的バックアップを作成し、HSM の完全な復元操作なしで詳細な復旧を有効にします。 キー バックアップは暗号化され、暗号化されてセキュリティ ドメインに関連付けられます。つまり、同じセキュリティ ドメインを共有する HSM にのみ復元できます。 完全バックアップと復元を参照してください。包括的なディザスター リカバリー手順を準備する: RSA キー ペアを使用したセキュリティ ドメインの復旧、バックアップ復元手順、およびアプリケーションの再構成手順を含むディザスター リカバリー計画を開発してテストします。 セキュリティ ドメイン ファイル、秘密キー (最小クォーラム)、および地理的に異なる場所に格納されている最近のバックアップへの安全なオフライン アクセスを維持していることを確認します。 ディザスター リカバリー ガイドを参照してください。
バックアップと復元の手順を定期的にテストする: 非運用 HSM インスタンスを使用して定期的なディザスター リカバリー訓練を実施して、セキュリティ ドメインの回復、バックアップの復元、および完全なディザスター リカバリー ワークフローを検証します。 テストにより、セキュリティ ドメイン クォーラム所有者が復旧操作を正常に実行でき、バックアップの整合性が検証されます。 ディザスター リカバリー ガイドを参照してください。
適切なアクセス制御を使用してバックアップ ストレージをセキュリティで保護する: 適切な RBAC アクセス許可、プライベート エンドポイント、カスタマー マネージド暗号化キーで構成された Azure Storage アカウントに HSM バックアップを格納します。 ストレージ BLOB データ共同作成者ロールを使用してユーザー割り当てマネージド ID を構成し、復旧要件とストレージ コストのバランスを取るバックアップ保持ポリシーを実装します。 完全バックアップと復元を参照してください。
サービス固有のセキュリティ
サービス固有のセキュリティは、ハードウェア レベルの保護、FIPS コンプライアンス、他の Azure サービスと区別する特殊な暗号化操作など、Managed HSM の固有の特性に対応します。
FIPS 140-3 レベル 3 のハードウェア検証を活用する: ハードウェア ベースのキー分離を備えた改ざんに対する耐性とエントロピ性の高い暗号化処理を提供する、Managed HSM の FIPS 140-3 レベル 3 検証済みハードウェア セキュリティ モジュールを活用します。 これにより、Azure で使用できる最高レベルのキー保護が提供されます。 「Azure Managed HSM とは」を参照してください。
規制コンプライアンスのために Bring Your Own-Key (BYOK) を実装する: 規制要件で特定のキー生成手順が義務付けられている場合は、BYOK を使用して HSM で保護されたキーをオンプレミスの HSM からインポートします。 BYOK を使用すると、転送プロセス中に HSM 境界の外側にプレーンテキスト形式でキーが存在しないようにします。 「Azure Managed HSM とは」を参照してください。
機密性の高いワークロードに対してシングルテナントの分離を利用する: Managed HSM のシングルテナント アーキテクチャを活用します。各 HSM インスタンスは 1 人の顧客専用であり、顧客固有のセキュリティ ドメインを介して暗号化によって分離されます。 これにより、マルチテナント キー ボールト ソリューションよりも強力な分離が提供されます。 「Azure Managed HSM とは」を参照してください。
適切なキー構成証明手順を実装する: キー構成証明機能を使用して、キーが FIPS 140-3 レベル 3 のハードウェア境界内で生成および処理されたことを証明します。 キーアテステーションは、高信頼性シナリオにおけるキーの起源証明を暗号的に提供します。 「鍵認証」を参照してください。
ビジネス継続性のためにリージョン間レプリケーションを構成する: マルチリージョン レプリケーションを有効にして、マネージド HSM をプライマリ リージョンから拡張リージョンに拡張し、アクティブ/アクティブデプロイに自動レプリケーションを提供します。 どちらのリージョンも要求を処理でき、Traffic Manager は要求を最も近い利用可能なリージョンにルーティングし、SLA を 99.99% に増やします。 マルチリージョン レプリケーションを参照してください。