Azure には、クラウドでの暗号化キーのストレージと管理のための複数のソリューション (Azure Key Vault (Standard および Premium オファリング)、Azure Managed HSM、Azure Cloud HSM、Azure Dedicated HSM、Azure Payment HSM が用意されています。 お客様にとって適切なキー管理ソリューションを決定するのは、お客様にとって圧倒的な可能性があります。 この記事は、シナリオ、要件、業界の 3 つの考慮事項に基づいてソリューションの範囲を提示することで、お客様がこの意思決定プロセスをナビゲートするのに役立ちます。
キー管理ソリューションを絞り込むには、一般的な高レベルの要件とキー管理シナリオに基づいてフローチャートに従います。 または、その後の特定の顧客要件に基づくテーブルを使用します。 ソリューションとして複数の製品を提供する場合、または適切な製品の選択について安心したい場合は、フローチャートとテーブルの組み合わせを使用して最終的な決定を行います。 同じ業界の他の顧客が何を使用するかについて興味がある場合は、業界セグメント別の一般的なキー管理ソリューションの表を参照してください。 特定のソリューションの詳細については、ドキュメントの最後にあるリンク先を参照してください。
シナリオに応じてキー管理ソリューションを選択する
以下のグラフは、一般的な要件とユース ケースのシナリオ、推奨される Azure キー管理ソリューションを示すものです。
このグラフでは、次の一般的な要件に言及しています。
- FIPS-140 は、さまざまなレベルのセキュリティ要件を含む米国政府の標準です。 詳細については、Federal Information Processing Standards (FIPS) 140 に関するページを参照してください。
- "キー主権" は、お客様の組織がキーを完全かつ排他的に管理できることであり、キーにアクセスできるユーザーやサービスの管理、キー管理ポリシーなどが含まれます。
- 単一テナント とは、複数の顧客間の共有インスタンスではなく、顧客ごとにデプロイされたアプリケーションの単一の専用インスタンスを指します。 金融サービス業界の内部コンプライアンス要件としてシングル テナント製品が求められるケースが多く見られます。
また、次のようなさまざまなキー管理のユース ケースにも言及しています。
- "保存時の暗号化" は、通常、Azure IaaS、PaaS、SaaS モデルで有効になっています。 Microsoft 365、Microsoft Purview Information Protection などのアプリケーション、ストレージ、分析、サービス バス機能にクラウドが使用されるプラットフォーム サービス、オペレーティング システムとアプリケーションがホストされ、クラウドにデプロイされているインフラストラクチャ サービスで、保存時の暗号化が使用されます。 保存時の暗号化用のカスタマー マネージド キー は、Azure Storage と Microsoft Entra で使用されます。 最高のセキュリティを確保するには、キーは HSM で保護された 3k または 4k の RSA キーである必要があります。 詳細については、「保存時の Azure データの暗号化」を参照してください。
- SSL/TLS オフロード は、Azure Managed HSM、Azure Cloud HSM、Azure Dedicated HSM でサポートされています。 お客様は、F5 および Nginx 用の Azure Managed HSM の高可用性、セキュリティ、および最適な価格ポイントを改善しました。
- "リフト アンド シフト" とは、オンプレミスの PKCS11 アプリケーションが Azure Virtual Machines に移行され、Azure Virtual Machines で Oracle TDE などのソフトウェアが実行されるシナリオを指します。 支払い用暗証番号 (PIN) 処理を必要とするリフト アンド シフトは、Azure Payment HSM でサポートされています。 その他のすべてのシナリオは、Azure Cloud HSM と Azure Dedicated HSM でサポートされています。 PKCS11、JCA/JCE、CNG/KSP などのレガシ API とライブラリは、Azure Cloud HSM と Azure Dedicated HSM でのみサポートされています。
- 決済トランザクション/処理 には、カードおよびモバイル決済の承認と 3D セキュアで保護された認証、PIN の生成、管理および検証、カード、ウェアラブルおよび接続されたデバイスの支払い資格情報の発行、キーと認証データのセキュリティ保護、ポイントツーポイント暗号化、セキュリティ トークン化、EMV 決済トークン化のための機密データ保護が含まれます。 これには、PCI DSS、PCI 3DS、PCI PIN などの認証も含まれます。 これらは、Azure Payment HSM でのみサポートされます。
フローチャートの結果は、ニーズに最適なソリューションを特定するための始点となります。
その他の顧客要件を比較する
Azure には、お客様が大まかな要件と管理責任の両方に基づいて製品を選択できるように、複数のキー管理ソリューションが用意されています。 Azure Key Vault や Azure Managed HSM といったお客様の責任が少ないものから、Azure Dedicated HSM や Azure Payment HSM といったお客様の責任が最も重いものまで、さまざまな管理責任があります。
お客様と Microsoft 間の管理責任のトレードオフやその他の要件について、以下の表で詳しく説明します。
プロビジョニングとホスティングは、すべてのソリューションで Microsoft によって管理されます。 キーの生成と管理、ロールとアクセス許可の付与、監視と監査は、すべてのソリューションにわたってお客様の責任です。
表を用いて、すべてのソリューションを並べて比較できます。 一番左の列にある各質問に答えながら上から下へ進み、管理オーバーヘッドやコストなど、ニーズをすべて満たすソリューションを選択してください。
| AKV Standard | AKV Premium | Azure Managed HSM | Azure の専用 HSM | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|---|
| どのレベルのコンプライアンスが必要ですか? | FIPS 140-2 レベル 1 | FIPS 140-2 レベル 3、PCI DSS、PCI 3DS | FIPS 140-2 レベル 3、PCI DSS、PCI 3DS | FIPS 140-2 レベル 3、HIPAA、PCI DSS、PCI 3DS、eIDAS CC EAL4 以降、GSMA | FIPS 140-3 レベル 3、HIPAA、PCI DSS、PCI 3DS、eIDAS | FIPS 140-2 レベル 3、PCI HSM v3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| キー主権が必要ですか? | いいえ | いいえ | はい | はい | はい | はい |
| どのようなテナントをお探しですか? | マルチテナント | マルチテナント | シングル テナント | シングル テナント | シングル テナント | シングル テナント |
| ご自分のユース ケースはどれですか? | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、CMK、カスタム | 保存時の暗号化、TLS オフロード、CMK、カスタム | PKCS11、TLS オフロード、コード/ドキュメント署名、カスタム | PKCS11、TLS オフロード、コード/ドキュメント署名、カスタム | 支払い PIN プロセス、カスタム |
| HSM ハードウェア保護が必要ですか? | いいえ | はい | はい | はい | はい | はい |
| 予算はどのくらいですか? | $ | $$ | $$$ | $$$$ | $$$ | $$$$ |
| 修正プログラムの適用とメンテナンスは誰が責任を負いますか? | Microsoft | Microsoft | Microsoft | カスタマー | Microsoft | カスタマー |
| サービスの正常性とハードウェアのフェールオーバーに責任を持つのは誰ですか? | Microsoft | Microsoft | 共有 | カスタマー | 共有 | カスタマー |
| どのような種類のオブジェクトを使用していますか? | Asym キー、シークレット、証明書 | Asym キー、シークレット、証明書 | 非同期/同期キー | 非同期/同期キー、証明書 | 非同期/同期キー、証明書 | ローカル マスター キー |
| 信頼のルート コントロール | Microsoft | Microsoft | カスタマー | カスタマー | カスタマー | カスタマー |
業界セグメント別の一般的なキー管理ソリューションの使用
各業界でよく利用されているキー管理ソリューションの一覧を以下に示します。
| 業界 | 推奨される Azure ソリューション | 推奨されるソリューションに関する考慮事項 |
|---|---|---|
| 私は、厳密なセキュリティとコンプライアンス要件 (銀行、政府、高度な規制対象の業界など) を持つ企業または組織です。 | Azure Managed HSM、Azure Cloud HSM | Azure Managed HSM は FIPS 140-2 レベル 3 準拠を提供する、e コマース用の PCI 準拠ソリューションです。 ここでは、PCI DSS 4.0 の暗号化がサポートされています。 キーは HSM で保護され、お客様にキー主権とシングル テナントを提供します。 Azure Cloud HSM では、FIPS 140-3 レベル 3 のコンプライアンス、HSM クラスターの顧客所有権、PKCS#11 およびその他の暗号化操作用の標準 API のサポートが提供されます。 |
| 私は、顧客のクレジット カードの保存、処理、外部の支払いプロセッサ/ゲートウェイへの送信、PCI 準拠のソリューションの検索が必要な、直接消費者向け e コマース マーチャントです。 | Azure マネージド HSM | Azure Managed HSM は FIPS 140-2 レベル 3 準拠を提供する、e コマース用の PCI 準拠ソリューションです。 ここでは、PCI DSS 4.0 の暗号化がサポートされています。 キーは HSM で保護され、お客様にキー主権とシングル テナントを提供します。 |
| 私は、金融サービス、発行者、カード取得者、カード ネットワーク、支払いゲートウェイ/PSP、または 3DS ソリューション プロバイダーのサービス プロバイダーであり、PCI と複数の主要なコンプライアンス フレームワークを満たす単一のテナント サービスを探しています。 | Azure支払いHSM | Azure Payment HSM は、FIPS 140-2 Level 3、PCI HSM v3、PCI DSS、PCI 3DS、および PCI PIN に準拠しています。 決済処理に関する一般的な社内コンプライアンス要件である、キー主権とシングル テナントを提供します。 Azure Payment HSM は、完全な決済トランザクションと PIN 処理をサポートします。 |
| クラウドネイティブ アプリケーションのプロトタイプを作成しようとしている初期段階のスタートアップ企業。 | Azure Key Vault Standard | Azure Key Vault Standard では、ソフトウェアに基づくキーがエコノミー価格で提供されます。 |
| クラウドネイティブ アプリケーションを作成しようとしているスタートアップ企業。 | Azure Key Vault Premium、Azure Managed HSM | Azure Key Vault Premium と Azure Managed HSM はどちらも HSM で保護されたキー*を提供し、クラウドネイティブ アプリケーションの構築に最適なソリューションです。 |
| Azure VM/HSM を使用するようにアプリケーションを移行したいと考えている IaaS の顧客。 | Azure Dedicated HSM、Azure Cloud HSM | Azure Dedicated HSM と Azure Cloud HSM は、SQL IaaS のお客様をサポートしています。 PKCS11 とカスタムの非クラウド ネイティブ アプリケーションをサポートする唯一のソリューションです。 |
Azure キー管理ソリューションの詳細を確認する
Azure Key Vault (Standard レベル): FIPS 140-2 レベル 1 で検証されたマルチテナント クラウド キー管理サービス。非対称キー、シークレット、証明書を格納するために使用できます。 Azure Key Vault に保存されているキーはソフトウェアで保護され、保存時の暗号化とカスタム アプリケーションに使用できます。 Azure Key Vault Standard は、最新の API、幅広いリージョン デプロイ、および Azure サービスとの統合を提供します。 詳細については、Azure Key Vault の概要に関する記事を参照してください。
Azure Key Vault (Premium レベル): FIPS 140-2 レベル 3 の検証済み、PCI 準拠のマルチテナント HSM オファリング。非対称キー、シークレット、証明書の格納に使用できます。 キーは、セキュリティで保護されたハードウェア境界*に格納されます。 Microsoft は、基になる HSM を管理および運用し、Azure Key Vault Premium に保存されているキーは、保存時の暗号化とカスタム アプリケーションに使用できます。 Azure Key Vault Premium は、最新の API、幅広いリージョン デプロイ、および Azure サービスとの統合も提供します。 AKV Premium のお客様が、より高いセキュリティ コンプライアンス、主権、単一テナント、1 秒あたりのより高い暗号化操作を探している場合は、代わりに Managed HSM を検討することをお勧めします。 詳細については、Azure Key Vault の概要に関する記事を参照してください。
Azure Managed HSM: FIPS 140-2 レベル 3 で検証され、PCI に準拠するシングルテナント HSM オファリングです。これにより、お客様は、保存時の暗号化、キーレス SSL/TLS オフロード、カスタム アプリケーションのために HSM を完全に制御できます。 Azure Managed HSM は、機密キーを提供する唯一のキー管理ソリューションです。 お客様は、1 つの論理的な高可用性 HSM アプライアンスとして機能する 3 つの HSM パーティションのプールを受け取ります。Key Vault API を介して暗号化機能を公開するサービスがこれらのフロントエンドに置かれます。 Microsoft は、HSM のプロビジョニング、パッチの適用、メンテナンス、ハードウェアのフェールオーバーを処理しますが、キー自体にはアクセスしません。これはサービスが Azure の Confidential Compute Infrastructure 内で実行されるためです。 Azure Managed HSM は、Azure SQL、Azure Storage、Azure Information Protection PaaS サービスと統合され、F5 および Nginx を使用したキーレス TLS のサポートを提供します。 詳細については、「 Azure Key Vault Managed HSM とは」を参照してください。
Azure Dedicated HSM: FIPS 140-2 レベル 3 の検証済み、PCI 準拠のシングルテナント ベア メタル HSM オファリング。これにより、お客様は Microsoft データセンターに存在する汎用 HSM アプライアンスをリースできます。 お客様は、HSM デバイスに対する完全な所有権を持ち、必要に応じてファームウェアのパッチ適用と更新を行う責任を負います。 Microsoft は、デバイスに対するアクセス許可やキー マテリアルへのアクセス権を持たず、Azure Dedicated HSM は Azure PaaS オファリングと統合されません。 お客様は、PKCS#11、JCE/JCA、KSP/CNG API を使用して HSM を対話操作できます。 このオファリングは、従来のリフト アンド シフト ワークロード、PKI、SSL オフロード、キーレス TLS (サポートされている統合には F5、Nginx、Apache、Palo Alto、IBM GW など)、OpenSSL アプリケーション、Oracle TDE、Azure SQL TDE IaaS に最も役立ちます。 詳細については、「 Azure Dedicated HSM とは」を参照してください。
Azure Cloud HSM: FIPS 140-3 レベル 3 で検証されたシングルテナント HSM オファリング。PKCS#11 の HSM の完全な制御、SSL/TLS 処理のオフロード、証明機関の秘密キー保護、ドキュメントとコード署名を含む透過的なデータ暗号化、カスタム アプリケーションを顧客に提供します。 お客様は、HSM クラスターを完全に管理できます。 お客様は HSM のデプロイと初期化を所有していますが、Microsoft は HSM のサービスのプロビジョニングとホスティングを処理します。 Azure Cloud HSM では、リフトアンドシフト ワークロード、PKI、SSL オフロードとキーレス TLS、OpenSSL アプリケーション、Oracle TDE、Azure SQL TDE IaaS の使用など、既存のすべての Azure Dedicated HSM ユース ケースがサポートされています。 Azure Cloud HSM は、Azure PaaS オファリングと統合されていません。
Azure Payment HSM: FIPS 140-2 レベル 3、PCI HSM v3 で検証されたシングルテナント ベア メタル HSM オファリングで、お客様は、支払いPIN処理、支払い資格情報の発行、キーと認証データのセキュリティ保護、機密データ保護など、支払い操作のために Microsoft データセンターで Payment HSM アプライアンスをリースできます。 このサービスは、PCI DSS、PCI 3DS、PCI PIN に準拠しています。 Azure Payment HSM は、お客様が完全に管理制御するシングルテナント HSM を提供し、お客様は HSM に排他的にアクセスします。 HSM がお客様に割り当てられると、マイクロソフトはお客様データにアクセスできなくなります。 同様に、HSM が不要になった場合は、HSM がリリースされるとすぐに顧客データがゼロ化および消去され、完全なプライバシーとセキュリティが維持されます。 詳細については、「 Azure Payment HSM とは」を参照してください。
注意
* Azure Key Vault Premium では、ソフトウェアで保護されたキーと HSM で保護されたキーの両方を作成できます。 Azure Key Vault Premium を使用する場合は、作成されたキーが HSM で保護されていることを確認する必要があります。