Azure Blob Storage の TLS 1.2 に移行する

2024 年 11 月 1 日、Azure Blob Storage では、トランスポート層セキュリティ (TLS) のバージョン 1.0 と 1.1 のサポートが停止されます。 TLS 1.2 が新しい最小 TLS バージョンになります。 この変更は、すべてのクラウドで、TLS 1.0 と 1.1 を使用するすべての既存および新しい BLOB ストレージ アカウントに影響します。 TLS 1.2 を既に使用しているストレージ アカウントは、この変更の影響を受けません。

ストレージ アカウントに接続するアプリケーションの中断を回避するには、アカウントで TLS 1.2 を使用したデータ送受信をクライアントに要求し、TLSバージョン 1.0 と 1.1 に対する依存関係を削除する必要があります。

Transport Layer Securityについて

トランスポート層セキュリティ (TLS) は、ネットワーク経由で暗号化チャネルを確立してアプリケーションとサーバー間の通信を暗号化するインターネット セキュリティ プロトコルです。 HTTPS 接続を介してストレージ データにアクセスする場合、クライアント アプリケーションとストレージ アカウント間の通信は TLS を使用して暗号化されます。

TLS は、悪意のあるユーザーが機密情報にアクセスできないように、インターネット経由で送信されるデータを暗号化します。 クライアントとサーバーの間では、TLS ハンドシェイクによって互いの身元の確認が行われ、これによって通信方法が決まります。 ハンドシェイク中に、各パーティで使用される TLS バージョンが識別されます。 クライアントとサーバーの両方で共通のバージョンがサポートされている場合、これらは通信できます。

TLS 1.2 を使用する理由

Azure Storage で TLS 1.2 を使用して、インフラストラクチャをセキュリティで保護することをお勧めします。 古い TLS バージョン (1.0 および 1.1) は、進化するテクノロジと規制標準 (FedRamp、NIST) に合わせて非推奨となり削除されていき、お客様に強化されたセキュリティが提供されます。

最新の暗号アルゴリズムと暗号スイートをサポートしていない TLS 1.0 および 1.1 よりも、TLS 1.2 の方が安全性が高く高速です。 Azure Storage をご利用の多くのお客様は既に TLS 1.2 を使用していますが、まだ TLS 1.0 または 1.1 を使用しているお客様向けに、この移行を加速するための詳しいガイダンスを示します。

TLS 1.2 を使用するようにクライアントを構成する

まず、アカウントの Blob Storage サービスに要求を行う各クライアントを特定します。 次に、各クライアントが TLS 1.2 を使用してそのような要求を行うことを確実にします。

クライアント アプリケーションごとに、次のタスクをお勧めします。

• オペレーティング システムを最新バージョンに更新します。

• 開発ライブラリとフレームワークを最新バージョンに更新します。

• 古いセキュリティ プロトコルである TLS 1.0 および 1.1 のハードコーディングされたインスタンスを修正します。

• TLS 1.2 を使用するようにクライアントを構成します。 「クライアント アプリケーションのトランスポート層セキュリティ (TLS) を構成する」を参照してください。

より詳細なガイダンスについては、ご使用の環境で古いバージョンの TLS を廃止するためのチェックリストを参照してください。

重要

顧客やパートナーがアプリケーションに必要な変更を加えることができるように、製品またはサービスの TLS 1.2 への移行をそれぞれに通知します。

最小許容バージョンとして TLS 1.2 を適用する

廃止日より前に、TLS の最小バージョンを適用する Azure ポリシーを有効にすることができます。

TLS の最小バージョンの構成がクライアント アプリケーションにどのように影響する可能性があるかを理解するために、Microsoft では、Azure Storage アカウントのログ記録を有効にし、一定期間後にログを分析して、クライアント アプリケーションによって使用される TLS のバージョンを検出することをお勧めします。

古いバージョンの TLS を使用しているクライアントからのトラフィックが最小限であること、または古いバージョンの TLS で行われた要求を失敗させても構わないことが確実である場合は、ストレージ アカウントで最小 TLS バージョンの適用を開始できます。

クライアント アプリケーションで使用される TLS バージョンを検出し、TLS 1.2 を最小許容バージョンとして適用する方法については、Azure Storage の受信要求に必要な最小バージョンのトランスポート層セキュリティ (TLS) の適用に関するページを参照してください。

簡単なヒント

• Windows 8+ では、既定で TLS 1.2 が有効になっています。

• Windows Server 2016+ では、既定で TLS 1.2 が有効になっています。

• できる限り、プロトコル のバージョンをハードコーディングすることは避けてください。 代わりに、アプリケーションが常にオペレーティング システムの既定の TLS バージョンに従うように設定します。

• たとえば、.NET Framework アプリケーションで SystemDefaultTLSVersion フラグを有効にすることで、オペレーティング システムの既定のバージョンに従うようにすることができます。 この方法を使用することによって、アプリケーションで将来の TLS バージョンが利用できるようになります。

• ハードコーディングが避けられない場合は、TLS 1.2 を指定してください。

• .NET Framework 4.5 以前を対象とするアプリケーションをアップグレードします。 .NET Framework 4.7 以降のバージョンでは TLS 1.2 がサポートされているため、代わりにこれらを使用するようにしてください。

  たとえば、Visual Studio 2013 は TLS 1.2 をサポートしていません。 代わりに、少なくとも Visual Studio 2017 の最新リリースを使用してください。

• アプリケーションに接続するクライアントによって要求される TLS バージョンを特定するには、Qualys SSL Labs を使用します。

• HTTPS 要求を送信した際にクライアントで使用される TLS バージョンを特定するには、Fiddler を使用します。

次のステップ

• TLS 1.0 の問題の解決、第 2 版 – TLS 1.2 への移行についてより詳しくみていきます。

• クライアントで TLS 1.2 を有効にする方法 – Microsoft Configuration Manager 向け。

• クライアント アプリケーションのトランスポート層セキュリティ (TLS) を構成する – PowerShell を使用して TLS バージョンをアップデートする手順が記載されています。

• Microsoft Entra ID TLS 1.1 と 1.0 の非推奨に備えてお使いの環境で TLS 1.2 のサポートを有効にする – WinHTTP の TLS バージョンを更新するための情報が記載されています。

• .NET Framework でのトランスポート層セキュリティ (TLS) のベスト プラクティス – .NET Framework を対象とするアプリケーションのセキュリティ プロトコルを構成する場合のベスト プラクティス。

• .NET Framework における TLS のベスト プラクティス – .NET Framework のベスト プラクティスに関する質問を投稿できる GitHub ページ。

• TLS 1.2 の PowerShell との互換性のトラブルシューティング – TLS 1.2 の互換性を確認し、PowerShell と互換性がない場合に問題を特定するためのプローブ