Azure Machine LearningワークスペースでCMK暗号化の設定について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Machine Learningワークスペースでカスタマーマネージドキーによる暗号化がされていないという課題について、リスクと対策を解説します。

ポリシーの説明

Azure Machine Learningワークスペースは、機械学習モデルの開発、トレーニング、デプロイメントを行うための統合環境です。これらのワークスペースには、学習データ、モデル、実験結果などの機密性の高い情報が保存されるため、適切な暗号化による保護が不可欠です。

カスタマーマネージドキー（CMK）を使用することで、組織は暗号化キーの完全な制御権を持ち、キーのライフサイクル（作成、ローテーション、削除）を自己管理できます。これにより、規制要件を満たし、データの機密性を高度に保護することが可能になります。

修復方法

重要な制限事項

• CMK暗号化は新規ワークスペース作成時のみ設定可能です
• 既存のワークスペースにはCMKを適用できません
• 一度設定したCMKは削除できず、同じKey Vault内でのキー変更のみ可能です

コンソールでの修復手順

Azure コンソールを使用して、Machine Learningワークスペースにカスタマーマネージドキー暗号化を設定します。

事前準備

1. Azure Key Vaultの作成：
   • ソフト削除と消去保護を有効にする
   • RSAキー（最小3072ビット、推奧4096ビット）を生成する
   • 適切なアクセスポリシーを設定する

手順1: Azure Portalにアクセス

1. Azure Portal (https://portal.azure.com) にログインします
2. 「Machine Learning」を検索し、サービスを選択します
3. 「作成」をクリックして新しいワークスペースの作成を開始します

手順2: 基本設定の構成

1. サブスクリプションとリソースグループを選択します
2. ワークスペース名を入力します
3. リージョンを選択します（Key Vaultと同じリージョンを推奨）
4. 適切な価格レベルを選択します

手順3: 関連リソースの構成

1. ストレージアカウント：新規作成または既存を選択
2. Key Vault：CMK用に準備したKey Vaultを選択
3. Application Insights：監視用に有効化
4. Container Registry：コンテナ管理用に構成

手順4: 暗号化設定

1. 「暗号化の種類」で「カスタマーマネージドキー」を選択します
2. 「キーを選択」をクリックします
3. Key Vaultと特定のCMKキーを選択します
4. キーバージョン（最新または特定バージョン）を構成します

手順5: IDの構成

1. 「システム割り当てマネージドID」または「ユーザー割り当てマネージドID」を選択します
2. ストレージアクセスに「IDベースのアクセス」を選択します
3. マネージドIDにKey Vaultの適切な権限があることを確認します

手順6: 高ビジネスインパクト設定（オプション）

1. 非常に機密性の高いワークロードの場合、「高ビジネスインパクト」を有効にします
2. これにより、Microsoftの診断データ収集が削減されます
3. 追加の暗号化レイヤーが提供されます

手順7: ネットワーク設定

1. ネットワーク分離レベル（パブリック、プライベート、ハイブリッド）を選択します
2. プライベートネットワークを使用する場合、VNet設定を構成します

手順8: 確認と作成

1. すべての構成を確認します
2. 作成される追加リソースを確認します
3. 条件に同意し、「作成」をクリックします

最後に

この記事では、Azure Machine Learningワークスペースのカスタマーマネージドキー暗号化について、リスクと対策を解説しました。

CMK暗号化は、機密データを扱うMachine Learningワークロードにおいて、コンプライアンス要件を満たし、データ主権を維持するために不可欠な機能です。適切に実装することで、暗号化キーの完全な制御を維持しながら、規制要件を満たすことができます。既存ワークスペースを使用している場合は、新規ワークスペースへの移行計画を検討してください。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Azure Machine Learning encryption at rest
• Configure customer-managed keys
• High business impact workspace
• Azure Key Vault soft-delete and purge protection
• Azure Machine Learning security baseline