Azure Key Vault キーをセキュリティで保護する

Azure Key Vault キーは、暗号化、デジタル署名、およびキー ラッピング操作に使用される暗号化キーを保護します。 この記事では、暗号化キー管理に固有のセキュリティに関する推奨事項について説明します。

キーの種類と保護レベル

Azure Key Vault では、保護レベルが異なるさまざまなキーの種類がサポートされています。 セキュリティ要件に基づいて適切なキーの種類を選択します。

• ソフトウェアで保護されたキー (RSA、EC):FIPS 140-2 レベル 1 で検証されたソフトウェアによって保護されたキー。 暗号化と署名の操作を必要とするほとんどのアプリケーションに適しています。

• HSM で保護されたキー (RSA-HSM、EC-HSM): FIPS 140-2 レベル 2 で検証されたハードウェア セキュリティ モジュール (HSM) によって保護されたキー。 ハードウェアベースのキー保護が必要なセキュリティの高いシナリオに推奨されます。

• マネージド HSM キー: FIPS 140-2 レベル 3 で検証されたハードウェアを使用した、専用のシングルテナント HSM プール内のキー。 最高のセキュリティとコンプライアンスの要件に必要です。

キーの種類の詳細については、「 Azure Key Vault キーについて」を参照してください。

主な使用法と操作

キー操作を、攻撃対象領域を最小限に抑えるためにアプリケーションに必要なもののみに制限します。

• キー操作を制限する: 必要なアクセス許可のみを付与する (暗号化、暗号化解除、署名、検証、wrapKey、unwrapKey)
• 適切なキー サイズを使用します。
  • RSA キー: 2048 ビットの最小 4096 ビットを使用して、セキュリティの高いシナリオを実現する
  • EC キー: セキュリティ要件に基づいて P-256、P-384、または P-521 曲線を使用する
• 目的別にキーを分離する: 暗号化操作と署名操作に異なるキーを使用して、キーが侵害された場合の影響を制限する

キー操作の詳細については、「 Key Vault でのキー操作」を参照してください。

キーのローテーションとバージョン管理

通常のキー ローテーションを実装して、侵害されたキーからの公開を制限します。

• キーの自動ローテーションを有効にする: アプリケーションのダウンタイムなしでキーをローテーションするように自動ローテーション ポリシーを構成します。 キーの自動ローテーションの構成を参照してください
• ローテーションの頻度を設定する: コンプライアンス要件に基づいて、少なくとも年 1 回、またはより頻繁に暗号化キーをローテーションする
• キーのバージョン管理を使用する: Key Vault ではキーのバージョンが自動的に設定されるため、既存の暗号化されたデータを中断することなくシームレスにローテーションできます
• 再暗号化の計画: 長期的なデータの場合は、新しいキー バージョンでデータを再暗号化する戦略を実装します

ローテーションの詳細については、「 Azure Key Vault での暗号化キーの自動ローテーションの構成」を参照してください。

キーのバックアップと回復

適切なバックアップと回復の手順を実装して、データ損失から保護します。

• 論理的な削除を有効にする: 論理的な削除では、保持期間内 (7 ~ 90 日以内) に削除されたキーを回復できます。 Azure Key Vault のソフト削除の概要を参照してください
• 消去保護を有効にする: 保持期間中にキーを完全に削除しないようにします。 「消去保護」を参照してください。
• 重要なキーのバックアップ: かけがえのないデータを保護するキーのバックアップをエクスポートし、安全に保存します。 Azure Key Vault のバックアップを参照する
• ドキュメントの回復手順: 主要な回復シナリオ用に Runbook を維持する

Bring Your Own Key (BYOK)

Key Vault に独自のキーをインポートする場合は、セキュリティのベスト プラクティスに従ってください。

• セキュリティで保護されたキー生成を使用する: FIPS 140-2 レベル 2 以降の HSM でキーを生成する
• 転送中にキーを保護する: Key Vault の BYOK プロセスを使用して、キーを安全に転送します。 「HSM で保護されたキーを Key Vault にインポートする (BYOK)」を参照してください。
• キーのインポートを検証する: インポート後にキーの属性とアクセス許可を確認する
• キーの実証を維持する: インポートされたキーの配信元と転送方法を文書化する

BYOK の詳細については、「 Key Vault の HSM で保護されたキーをインポートする」を参照してください。

キーのリリースと認証

信頼できる環境へのキーのリリースが必要なシナリオの場合:

• キー リリース ポリシーの使用: Key Vault からキーを解放できるタイミングを制御するように構成証明ベースのリリース ポリシーを構成する
• 構成証明の確認: 要求環境でキーを解放する前に有効な構成証明が提供されていることを確認する
• キー リリースの監査: すべてのキー リリース操作を監視およびログに記録する

キー リリースの詳細については、 Azure Key Vault のキー リリースに関するページを参照してください。

監視と監査

キーの使用状況を追跡して、承認されていないアクセスまたは疑わしいパターンを検出します。

• 診断ログを有効にする: セキュリティ分析のためにすべてのキー操作をログに記録します。 Azure Key Vault のログ記録を参照する
• キー操作の監視: 暗号化、暗号化解除、署名、検証の操作を追跡してベースラインの使用パターンを確立する
• アラートの設定: Azure Monitor アラートを次のように構成します。
  • 通常とは異なるキー アクセス パターン
  • 失敗したキー操作
  • キーの削除または変更
  • キーの有効期限が近づいている

「Azure Key Vault の監視とアラート」を参照してください。

キーの有効期限

必要に応じて、キーの有効期限を設定します。

• 一時キーの有効期限を設定する: 期限付き目的で使用されるキーには有効期限が設定されている必要があります
• 期限切れのキーを監視する: Event Grid 通知を使用して、キーの有効期限が切れる前にアラートを生成します。 Event Grid ソースとしての Azure Key Vault の表示
• キーの更新を自動化する: 有効期限が切れる前にキーをローテーションする自動化されたプロセスを実装する

関連するセキュリティ記事

• Azure Key Vault をセキュリティで保護 する - 包括的な Key Vault のセキュリティ ガイダンス
• Azure Key Vault シークレットをセキュリティで保護する - シークレット のセキュリティのベスト プラクティス
• Azure Key Vault 証明書をセキュリティで保護 する - 証明書のセキュリティのベスト プラクティス

次のステップ

• Azure Key Vault キーについて
• Azure Key Vault で暗号化キーの自動ローテーションを構成する
• Azure Key Vault 開発者ガイド