最適なキー管理ソリューションを選択する方法
Azure には、クラウドでの暗号化キーのストレージと管理のための複数のソリューション (Azure Key Vault (Standard および Premium オファリング)、Azure Managed HSM、Azure Dedicated HSM、Azure Payment HSM が用意されています。 お客様にとって、適切なキー管理ソリューションを判断するのは困難な場合があります。 この記事は、シナリオ、要件、業界という 3 つの異なる考慮事項に基づいてソリューションの範囲を提示することで、お客様による意思決定プロセスを支援することを目的としています。
キー管理ソリューションの絞り込みを開始するには、一般的な大まかな要件とキー管理シナリオに基づくフローチャートに従ってください。 または、その直後の特定の顧客要件に基づく表を活用してください。 いずれかでソリューションとして複数の製品が提示されている場合は、フローチャートと表を組み合わせて最終決定に役立ててください。 同じ業界の他のお客様がどのようなものを使っているか気になる場合は、業界セグメント別の一般的なキー管理ソリューションの表を参照してください。 特定のソリューションの詳細については、ドキュメントの最後にあるリンクを使用してください。
シナリオに応じてキー管理ソリューションを選択する
以下のグラフは、一般的な要件とユース ケースのシナリオ、推奨される Azure キー管理ソリューションを示すものです。
このグラフでは、次の一般的な要件に言及しています。
- FIPS-140 は、さまざまなレベルのセキュリティ要件を含む米国政府の標準です。 詳細については、Federal Information Processing Standards (FIPS) 140 に関するページを参照してください。
- "キー主権" は、お客様の組織がキーを完全かつ排他的に管理できることであり、キーにアクセスできるユーザーやサービスの管理、キー管理ポリシーなどが含まれます。
- "単一テナント" とは、複数の顧客間で共有されたインスタンスではなく、顧客ごとにデプロイされたアプリケーションの単一の専用インスタンスを指します。 金融サービス業界の内部コンプライアンス要件としてシングル テナント製品が求められるケースが多く見られます。
また、次のようなさまざまなキー管理のユース ケースにも言及しています。
- "保存時の暗号化" は、通常、Azure IaaS、PaaS、SaaS モデルで有効になっています。 Microsoft 365、Microsoft Purview Information Protection などのアプリケーション、ストレージ、分析、サービス バス機能にクラウドが使用されるプラットフォーム サービス、オペレーティング システムとアプリケーションがホストされ、クラウドにデプロイされているインフラストラクチャ サービスで、保存時の暗号化が使用されます。 "保存時の暗号化用のカスタマー マネージド キー" は、Azure Storage と Microsoft Entra ID で使用されます。 最高のセキュリティを確保するには、キーは HSM で保護された 3k または 4k の RSA キーである必要があります。 詳細については、「保存時の Azure データの暗号化」を参照してください。
- "SSL/TLS オフロード" は、Azure Managed HSM と Azure Dedicated HSM でサポートされています。 お客様は、F5 および Nginx 用の Azure Managed HSM で、高可用性、セキュリティ、および最適な価格ポイントを実現できます。
- "リフト アンド シフト" とは、オンプレミスの PKCS11 アプリケーションが Azure Virtual Machines に移行され、Azure Virtual Machines で Oracle TDE などのソフトウェアが実行されるシナリオを指します。 支払い用暗証番号 (PIN) 処理を必要とするリフト アンド シフトは、Azure Payment HSM でサポートされています。 その他のシナリオはすべて、Azure Dedicated HSM でサポートされています。 PKCS11、JCA/JCE、CNG/KSP などのレガシ API とライブラリは、Azure Dedicated HSM でのみサポートされています。
- 決済トランザクション/処理 には、カードおよびモバイル決済の承認と 3D セキュアで保護された認証、PIN の生成、管理および検証、カード、ウェアラブルおよび接続されたデバイスの支払い資格情報の発行、キーと認証データのセキュリティ保護、ポイントツーポイント暗号化、セキュリティ トークン化、EMV 決済トークン化のための機密データ保護が含まれます。 これには、PCI DSS、PCI 3DS、PCI PIN などの認証も含まれます。 これらは、Azure Payment HSM でサポートされています。
フローチャートの結果は、ニーズに最適なソリューションを特定するための始点となります。
その他の顧客要件を比較する
Azure には、お客様が大まかな要件と管理責任の両方に基づいて製品を選択できるように、複数のキー管理ソリューションが用意されています。 Azure Key Vault や Azure Managed HSM といったお客様の責任が少ないものから、Azure Dedicated HSM や Azure Payment HSM といったお客様の責任が最も重いものまで、さまざまな管理責任があります。
お客様と Microsoft 間の管理責任のトレードオフやその他の要件について、以下の表で詳しく説明します。
プロビジョニングとホスティングは、すべてのソリューションで Microsoft によって管理されます。 キーの生成と管理、ロールとアクセス許可の付与、監視と監査は、すべてのソリューションにわたってお客様の責任です。
表を用いて、すべてのソリューションを並べて比較できます。 一番左の列にある各質問に答えながら上から下へ進み、管理オーバーヘッドやコストなど、ニーズをすべて満たすソリューションを選択してください。
| AKV Standard | AKV Premium | Azure Managed HSM | Azure の専用 HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| どのレベルのコンプライアンスが必要ですか? | FIPS 140-2 レベル 1 | FIPS 140-2 レベル 3、PCI DSS、PCI 3DS** | FIPS 140-2 レベル 3、PCI DSS、PCI 3DS | FIPS 140-2 レベル 3、HIPPA、PCI DSS、PCI 3DS、eIDAS CC EAL4+、GSMA | FIPS 140-2 レベル 3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| キー主権が必要ですか? | いいえ | 番号 | イエス | イエス | はい |
| どのようなテナントをお探しですか? | マルチテナント | マルチテナント | シングル テナント | シングル テナント | シングル テナント |
| ご自分のユース ケースはどれですか? | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、TLS オフロード、CMK、カスタム | PKCS11、TLS オフロード、コード/ドキュメント署名、カスタム | 支払い PIN 処理、カスタム |
| HSM ハードウェア保護が必要ですか? | いいえ | イエス | イエス | イエス | はい |
| 予算はどのくらいですか? | $ | $$ | $$$ | $$$$ | $$$$ |
| 修正プログラムの適用とメンテナンスは誰が責任を負いますか? | Microsoft | Microsoft | Microsoft | Customer | Customer |
| サービスの正常性とハードウェアのフェールオーバーに責任を持つのは誰ですか? | Microsoft | Microsoft | 共有 | Customer | Customer |
| どのような種類のオブジェクトを使用していますか? | 非対称キー、シークレット、証明書 | 非対称キー、シークレット、証明書 | 非対称/対称キー | 非対称/対称キー、証明書 | ローカル主キー |
| 信頼のルート コントロール | Microsoft | Microsoft | Customer | Customer | Customer |
業界セグメント別の一般的なキー管理ソリューションの使用
各業界でよく利用されているキー管理ソリューションの一覧を以下に示します。
| 業界 | 推奨される Azure ソリューション | 推奨されるソリューションに関する考慮事項 |
|---|---|---|
| 私は、厳密なセキュリティとコンプライアンス要件 (銀行、政府、高度な規制対象の業界など) を持つ企業または組織です。 私は、顧客のクレジット カードの保存、処理、外部の支払いプロセッサ/ゲートウェイへの送信、PCI 準拠のソリューションの検索が必要な、直接消費者向け e コマース マーチャントです。 |
Azure Managed HSM | Azure Managed HSM は FIPS 140-2 レベル 3 準拠を提供する、e コマース用の PCI 準拠ソリューションです。 ここでは、PCI DSS 4.0 の暗号化がサポートされています。 キーは HSM で保護され、お客様にキー主権とシングル テナントを提供します。 |
| 私は、金融サービス、発行者、カード取得者、カード ネットワーク、支払いゲートウェイ/PSP、または 3DS ソリューション プロバイダーのサービス プロバイダーであり、PCI と複数の主要なコンプライアンス フレームワークを満たす単一のテナント サービスを探しています。 | Azure Payment HSM | Azure Payment HSM は、FIPS 140-2 Level 3、PCI HSM v3、PCI DSS、PCI 3DS、および PCI PIN に準拠しています。 決済処理に関する一般的な社内コンプライアンス要件である、キー主権とシングル テナントを提供します。 Azure Payment HSM は、完全な決済トランザクションと PIN 処理をサポートします。 |
| クラウドネイティブ アプリケーションのプロトタイプを作成しようとしている初期段階のスタートアップ企業。 | Azure Key Vault Standard | Azure Key Vault Standard では、ソフトウェアに基づくキーがエコノミー価格で提供されます。 |
| クラウドネイティブ アプリケーションを作成しようとしているスタートアップ企業。 | Azure Key Vault Premium、Azure Managed HSM | Azure Key Vault Premium と Azure Managed HSM はどちらも HSM で保護されたキー*を提供し、クラウドネイティブ アプリケーションの構築に最適なソリューションです。 |
| Azure VM/HSM を使用するようにアプリケーションを移行したいと考えている IaaS の顧客。 | Azure の専用 HSM | Azure Dedicated HSM は、SQL IaaS のお客様をサポートします。 PKCS11 とカスタムの非クラウド ネイティブ アプリケーションをサポートする唯一のソリューションです。 |
Azure キー管理ソリューションの詳細を確認する
Azure Key Vault (Standard レベル): FIPS 140-2 レベル 1 で検証されたマルチテナント クラウド キー管理サービスで、非対称/対称キー、シークレット、証明書の保存にも使用できます。 Azure Key Vault に保存されているキーはソフトウェアで保護され、保存時の暗号化とカスタム アプリケーションに使用できます。 Azure Key Vault Standard は、最新の API、幅広いリージョン デプロイ、および Azure サービスとの統合を提供します。 詳細については、Azure Key Vault の概要に関する記事を参照してください。
Azure Key Vault (Premium レベル): FIPS 140-2 レベル 3** で検証されたマルチテナント HSM オファリングで、非対称/対称キー、シークレット、証明書の保存にも使用できます。 キーは、セキュリティで保護されたハードウェア境界*に格納されます。 Microsoft は、基になる HSM を管理および運用し、Azure Key Vault Premium に保存されているキーは、保存時の暗号化とカスタム アプリケーションに使用できます。 Azure Key Vault Premium は、最新の API、幅広いリージョン デプロイ、および Azure サービスとの統合も提供します。 キー主権、シングル テナント、および/または 1 秒あたりの暗号化処理量の向上が必要な AKV Premium のお客様は、代わりに Managed HSM を検討することをお勧めします。 詳細については、Azure Key Vault の概要に関する記事を参照してください。
Azure Managed HSM: FIPS 140-2 レベル 3 で検証され、PCI に準拠するシングルテナント HSM オファリングです。これにより、お客様は、保存時の暗号化、キーレス SSL/TLS オフロード、カスタム アプリケーションのために HSM を完全に制御できます。 Azure Managed HSM は、機密キーを提供する唯一のキー管理ソリューションです。 お客様は、1 つの論理的な高可用性 HSM アプライアンスとして機能する 3 つの HSM パーティションのプールを受け取ります。Key Vault API を介して暗号化機能を公開するサービスがこれらのフロントエンドに置かれます。 Microsoft は、HSM のプロビジョニング、パッチの適用、メンテナンス、ハードウェアのフェールオーバーを処理しますが、キー自体にはアクセスしません。これはサービスが Azure の Confidential Compute Infrastructure 内で実行されるためです。 Azure Managed HSM は、Azure SQL、Azure Storage、Azure Information Protection PaaS サービスと統合され、F5 および Nginx を使用したキーレス TLS のサポートを提供します。 詳細については、「Azure Key Vault マネージド HSM とは」を参照してください。
Azure Dedicated HSM: FIPS 140-2 レベル 3 で検証されたシングルテナント ベア メタル HSM オファリングであり、Microsoft データセンターに存在する汎用 HSM アプライアンスをリースできるようにします。 お客様は、HSM デバイスに対する完全な所有権を持ち、必要に応じてファームウェアのパッチ適用と更新を行う責任を負います。 Microsoft は、デバイスに対するアクセス許可やキー マテリアルへのアクセス権を持たず、Azure Dedicated HSM は Azure PaaS オファリングと統合されません。 お客様は、PKCS#11、JCE/JCA、KSP/CNG API を使用して HSM を対話操作できます。 このオファリングは、レガシのリフト アンド シフト ワークロード、PKI、SSL オフロード、キーレス TLS (サポートされている統合には、F5、Nginx、Apache、Palo Alto、IBM GW などが含まれます)、OpenSSL アプリケーション、Oracle TDE、Azure SQL TDE IaaS 向けに最も役に立ちます。 詳細については、「Azure Dedicated HSM とは」を参照してください。
Azure Payment HSM: FIPS 140-2 レベル 3、PCI HSM v3 で検証されたシングルテナント ベア メタル HSM オファリングで、お客様は、支払いPIN処理、支払い資格情報の発行、キーと認証データのセキュリティ保護、機密データ保護など、支払い操作のために Microsoft データセンターで Payment HSM アプライアンスをリースできます。 このサービスは、PCI DSS、PCI 3DS、PCI PIN に準拠しています。 Azure Payment HSM は、お客様が完全に管理制御するシングルテナント HSM を提供し、お客様は HSM に排他的にアクセスします。 HSM がお客様に割り当てられると、マイクロソフトはお客様データにアクセスできなくなります。 同様に、HSM が不要になった場合は、HSM がリリースされるとすぐに顧客データがゼロ化および消去され、完全なプライバシーとセキュリティが維持されます。 詳しくは、「Azure Payment HSM について」をご覧ください。
注意
* Azure Key Vault Premium では、ソフトウェアで保護されたキーと HSM で保護されたキーの両方を作成できます。 Azure Key Vault Premium を使用する場合は、作成されたキーが HSM で保護されていることを確認する必要があります。
** FIPS 140-2 レベル 2、PCI DSS である英国リージョンを除く。