データ暗号化オプションを確認する
Azure Cosmos DB では、プライマリ データベースがソリッドステート ドライブ (SSD) に保存されます。 メディア添付ファイルとバックアップは Azure Blob Storage に保存されます。これは通常は HDD に配置されるものです。 すべての Azure Cosmos DB リージョンで、すべてのユーザー データに対して暗号化が有効になっています。 Azure Cosmos DB では、すべてのデータベース、バックアップ、およびメディアに対して "保存時の暗号化" が使用されます。 "保存時の暗号化" とは、HDD や SSD のような不揮発性ストレージ デバイス上のデータの暗号化を指します。 さらに、転送中またはネットワークを通過している Azure Cosmos DB データも暗号化されます。 保存時の暗号化と転送中の暗号化は、Azure Cosmos DB でエンドツーエンドの暗号化が使用されることを意味します。 エンドツーエンドの暗号化に対して追加のコストはかかりません。
この暗号化はすべて自動で行われるため、これを使用するために設定を有効にする必要はありません。つまり、暗号化は既定で "オン" になっています。 Azure Cosmos DB では、アカウントが実行されているすべてのリージョンで AES 256 暗号化が使われます。 Azure Cosmos DB データは、パフォーマンスや可用性に影響を与えることなく、サービスマネージド キーを使用してその場で暗号化および暗号化解除されます。 これらのサービスマネージド キーは Microsoft によって管理されますが、オプションで独自のカスタマー マネージド キーを使用することもできます。 マイクロソフトには、暗号化キーのローテーションに関する一連の内部ガイドラインがあり、Cosmos DB はそれに従っています。
Azure Cosmos DB の保存時の暗号化の実装
Azure Cosmos DB の保存時の暗号化では、セキュリティで保護されたキー保存システム、暗号化されたネットワーク、暗号化 API などのセキュリティ テクノロジが使用されます。 暗号化されたデータの保存とキーの管理は個別に行われます。 データの暗号化を解除して処理するシステムでは、次の図に示すように、キーを管理するシステムと通信する必要があります。
