次の方法で共有


データの二重暗号化のためのインフラストラクチャ暗号化を有効にする

Azure Storage は、利用できる最強のブロック暗号の 1 つである 256 ビット AES と GCM モードの暗号化を使って、サービス レベルでストレージ アカウント内のすべてのデータを自動的に暗号化し、FIPS 140-2 に準拠しています。 さらに高いレベルでのデータのセキュリティ保護が必要なお客様は、二重暗号化のために Azure Storage インフラストラクチャ レベルで 256 ビット AES と CBC の暗号化を有効にすることもできます。 Azure Storage のデータを二重に暗号化することで、暗号化アルゴリズムやキーの 1 つが漏洩した場合に備えます。 このシナリオでは、追加の暗号化レイヤーによって引き続きデータが保護されます。

インフラストラクチャ暗号化は、ストレージ アカウント全体、またはアカウント内の暗号化スコープに対して有効にできます。 ストレージ アカウントまたは暗号化スコープに対してインフラストラクチャ暗号化が有効になっている場合、データは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。

サービスレベルの暗号化は、Azure Key Vault または Key Vault Managed Hardware Security Model (HSM) での Microsoft マネージド キーまたはカスタマーマネージド キーの使用をサポートしています。 インフラストラクチャレベルの暗号化は Microsoft マネージド キーに依存し、常に別のキーが使用されます。 Azure Storage 暗号化によるキー管理の詳細については、「暗号化キーの管理について」を参照してください。

データを二重に暗号化するには、インフラストラクチャ暗号化用に構成されたストレージ アカウントまたは暗号化スコープを最初に作成する必要があります。 この記事では、インフラストラクチャ暗号化を有効にする方法について説明します。

重要

インフラストラクチャの暗号化は、コンプライアンス要件のためにデータを二重に暗号化する必要があるシナリオの場合にお勧めします。 その他のほとんどのシナリオでは、Azure Storage の暗号化に十分に強力な暗号化アルゴリズムが用意されているので、インフラストラクチャの暗号化を使う利点はほとんどありません。

インフラストラクチャ暗号化を有効にしてアカウントを作成する

ストレージ アカウントに対してインフラストラクチャ暗号化を有効にするには、アカウントの作成時にインフラストラクチャ暗号化を使用するようにストレージ アカウントを構成する必要があります。 アカウントの作成後にインフラストラクチャ暗号化を有効または無効にすることはできません。 ストレージ アカウントは、汎用 v2、Premium ブロック BLOB、Premium ページ BLOB、または Premium ファイル共有の種類である必要があります。

Azure portal を使用してインフラストラクチャ暗号化が有効なストレージ アカウントを作成するには、これらの手順を実行します。

  1. Azure portal で、 [ストレージ アカウント] ページに移動します。

  2. [追加] ボタンを選択して、新しい汎用 v2、Premium ブロック BLOB、Premium ページ BLOB、または Premium ファイル共有アカウントを追加します。

  3. [暗号化] タブで、[インフラストラクチャ暗号化の有効化] を見つけて、[有効] を選びます。

  4. [確認と作成] を選択し、ストレージ アカウントの作成を完了します。

    アカウントを作成するときにインフラストラクチャ暗号化を有効にする方法を示すスクリーンショット。

Azure portal でストレージ アカウントのインフラストラクチャ暗号化が有効なことを確認するには、次の手順を実行します。

  1. Azure Portal のストレージ アカウントに移動します。

  2. [セキュリティとネットワーク]で、[暗号化]を選択してください。

    [アカウント] でインフラストラクチャ暗号化が有効なことを確認する方法を示すスクリーンショット。

Azure Policy には、ストレージ アカウントに対してインフラストラクチャの暗号化を有効にすることを要求する組み込みポリシーが用意されています。 詳細については、「Azure Policy の組み込みポリシー定義」の「ストレージ」セクションを参照してください。

インフラストラクチャ暗号化を有効にして暗号化スコープを作成する

アカウントに対してインフラストラクチャ暗号化が有効になっている場合、そのアカウントで作成された暗号化スコープでは、インフラストラクチャ暗号化が自動的に使用されます。 アカウント レベルでインフラストラクチャ暗号化が有効になっていない場合、暗号化スコープ作成時にそのスコープに対してそれを有効にするオプションがあります。 暗号化スコープに対するインフラストラクチャ暗号化の設定は、スコープ作成後には変更できません。 詳細については、「暗号化スコープの作成」を参照してください。

次のステップ