Share via

クイック スタート:ポータルを使用してコンテンツを暗号化する

  • [アーティクル]

Media Services ロゴ v3

警告

Azure Media Services は、2024 年 6 月 30 日に廃止されます。 詳細については、 AMS 廃止ガイドを参照してください。

Azure Media Services を使用すると、メディアがコンピューターから離れてから、保存、処理、配信されるまでの全過程をセキュリティ保護できます。 Media Services では、Advanced Encryption Standard (AES-128) または主要な 3 つのデジタル著作権管理 (DRM) システム コンテンツを配信できます。 FairPlay Streaming は、iOS デバイス、Apple TV、macOS の Safari で、HTTP ライブ ストリーミング (HLS) 経由で転送されるビデオに対してのみ使用できる Apple テクノロジです。 Media Services では、承認されたクライアントに AES キーと DRM (PlayReady、Widevine、FairPlay) ライセンスを配信するためのサービスも提供しています。

ストリームで暗号化オプションを指定するには (該当する場合)、ストリーミング ポリシーを使用し、それをストリーミング ロケーターに関連付けます。 コンテンツ キー (対象の資産へのアクセスをセキュリティで保護する) をエンド クライアントに配信する方法を構成するには、コンテンツ キー ポリシーを作成します。 構成が指定されたキーをクライアントに配信するために満たす必要がある要件 (制限) をコンテンツ キー ポリシーに設定する必要があります。

注意

コンテンツ キー ポリシーは、クリアなストリーミングまたはダウンロードには必要ありません。

プレーヤーがストリームを要求すると、Media Services は指定されたキーを使用して、AES クリア キーまたは DRM 暗号化によってコンテンツを動的に暗号化します。 ストリームの暗号化を解除するために、プレーヤーは Media Services のキー配信サービスまたは指定したキー配信サービスからキーを要求します。 ユーザーによるキーの取得が承認されているかどうかを判断するために、キーに指定されたコンテンツ キー ポリシーがサービスによって評価されます。

このクイックスタートでは、資産のストリーミング時に資産に適用する暗号化を指定するコンテンツ キー ポリシーの作成方法について示します。 また、このクイックスタートでは、資産に構成済みの暗号化を設定する方法についても説明します。

推奨される事前読み取り

コンテンツ キー ポリシーを作成する

コンテンツ キー (対象の資産へのアクセスをセキュリティで保護する) をエンド クライアントに配信する方法を構成するには、コンテンツ キー ポリシーを作成します。

  1. Azure Portal にサインインします。
  2. 操作する Media Services アカウントに移動します。
  3. [コンテンツ キー ポリシー] を選択します。
  4. [+ Add content key policy] (+ コンテンツ キー ポリシーの追加) を選択します。 [Create a content key policy](コンテンツ キー ポリシーの作成) ウィンドウが表示されます。
  5. 暗号化オプションを選択します。 デジタル著作権管理 (DRM)、Advanced Encryption Standard (AES)、またはその両方を選択して、対象のメディアを保護することを選択できます。
  6. DRM オプションのいずれかを選択しても、AES-128 クリア キー オプションを選択しても、制限を構成する方法を指定するように求められます。 オープンまたはトークン制限を選択できます。 詳細については、「コンテンツ アクセスの制御」を参照してください。

DRM コンテンツ キーを追加する

Microsoft PlayReady、Google Widevine、または Apple FairPlay を使用してコンテンツを保護することを選択できます。 ライセンス デリバリーのそれぞれの種類で、暗号化された形式の資格情報に基づいてコンテンツ キーが確認されます。

ライセンス テンプレート

ライセンス テンプレートの詳細については、以下を参照してください。

AES クリア キーを追加する

対象のコンテンツに AES-128 クリア キー暗号化を追加することもできます。 コンテンツ キーは、暗号化されていない形式でクライアントに送信されます。

資産のストリーミング ロケーターを作成する

  1. 操作する Media Services アカウントに移動します。
  2. [アセット] を選択します。
  3. 資産の一覧で、暗号化する資産を選択します。
  4. 選択した資産 の [ストリーミング ロケーター ] セクションで、[ + 新しいストリーミング ロケーター] を選択します。 [ストリーミング ロケーターの追加] 画面が表示されます。
  5. 構成したコンテンツ キー ポリシーに適したストリーミング ポリシーを選択します。
  6. 適切なストリーミング ポリシーを選択したら、ドロップダウン リストからコンテンツ キー ポリシーを選択できます。 たとえば、AES ClearKey ポリシーを使用できるようにするには、[ ストリーミング ポリシー ] ドロップダウン リストから [Predefined_ClearKey] を選択する必要があります。
  7. [追加] を選択して、資産にストリーミング ロケーターを追加します。 これにより資産が発行され、ストリーミング URL が生成されます。

リソースをクリーンアップする

これから他のクイックスタートに取り組む場合は、作成したリソースをそのまま残しておく必要があります。 それ以外の場合は、Azure portal にアクセスして、ご利用のリソース グループに移動し、このクイックスタートで使用したリソース グループを選択して、それらのリソースをすべて削除してください。

クローズド キャプション、字幕、時間指定メタデータの配信のセキュリティに関する考慮事項

Azure Media Services の動的な暗号化と DRM 機能には、ライブ文字起こし、キャプション、字幕、または時間指定メタデータを含むコンテンツの配信を保護するにあたって、考慮すべき制限があります。 PlayReady、FairPlay、Widevine などの DRM サブシステムは、テキスト トラックの暗号化とライセンスに対応していません。 テキスト トラックの DRM 暗号化がないため、ライブ文字起こし、手動で挿入したキャプション、アップロードした字幕、または個別のトラックとして挿入される可能性のある、時間指定メタデータ信号のコンテンツを保護する機能が制限されます。

キャプション、字幕、または時間指定メタデータ トラックを保護するには、次のガイドラインのいずれかに従ってください:

  1. AES-128 クリア キー暗号化を使います。 AES-128 クリア キー暗号化を有効にすると、オーディオやビデオ セグメントと同じ暗号化パターンに従う、完全な "エンベロープ" 暗号化技術を使って、テキスト トラックを暗号化するように構成できます。 これらのセグメントは、認証された JWT トークンを使って Media Services キー配信サービスから復号化キーを要求した後、クライアント アプリケーションによって復号化できます。 この方法は Azure Media Player でサポートされていますが、すべてのデバイスでサポートされているとは限りません。また、すべてのプラットフォームで機能するように、クライアント側の開発作業が必要になる場合があります。
  2. CDN トークン認証を使って、CDN ポータルの geo、IP、またはその他の構成可能な設定に制限されている、短い形式のトークン化された URL で配信されるテキスト (字幕、キャプション、メタデータ) トラックを保護します。 Media Services のストリーミング エンドポイントに接続するように構成された Verizon Premium CDN や、その他のサードパーティ CDN を使って、CDN セキュリティ機能を有効にします。

警告

上記のガイドラインのいずれかに従わなかった場合、字幕、キャプション、または時間指定メタデータ テキストは、暗号化されていないコンテンツとしてアクセス可能になり、目的のクライアント配信パス以外で傍受されたり、共有されたりする可能性があります。 これにより、情報が漏洩するおそれがあります。 安全な配信というシナリオでキャプションまたは字幕のコンテンツが漏洩するのではないかと懸念される場合は、コンテンツ配信の保護について、上記のガイドラインの詳細を Media Services サポート チームまでお問い合わせください。

ヘルプとサポート

質問がある場合は Media Services に問い合わせるか、次のいずれかの方法で更新内容に従ってください。