Azure Service Bus Premium カスタマーマネージドキー暗号化設定について

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Service Bus Premium名前空間でカスタマーマネージドキーによる暗号化が適用されていない問題について、リスクと対策を解説します。

ポリシーの説明

Azure Service Busは、エンタープライズアプリケーション間の信頼性の高いメッセージングを提供するフルマネージドサービスです。Premium層では、専用リソース、高スループット、そして高度なセキュリティ機能を提供します。その中でも、カスタマーマネージドキー（CMK）による暗号化は、組織が暗号化キーのライフサイクルを完全に制御できる重要なセキュリティ機能です。

Service Bus Premiumは、既定ではMicrosoftマネージドキーで暗号化されていますが、カスタマーマネージドキーを使用することで、より高度なセキュリティ要件とコンプライアンス要件を満たすことができます。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、Service Bus Premium名前空間にカスタマーマネージドキー暗号化を設定します。

Azure Key Vaultの準備
- Azure Portalで「Key vaults」に移動
- 「+作成」をクリック
- 以下の設定で作成：
  - 名前: 一意のKey Vault名
  - リージョン: Service Busと同じリージョン
  - 価格レベル: Standard以上
  - ソフト削除: 有効（必須）
  - パージ保護: 有効（必須）
- 「確認および作成」→「作成」
暗号化キーの作成
- 作成したKey Vaultを開く
- 左側メニューから「キー」を選択
- 「+生成/インポート」をクリック
- 以下の設定でキーを作成：
  - オプション: 生成
  - 名前: servicebus-encryption-key
  - キーの種類: RSA
  - RSAキーサイズ: 2048以上
- 「作成」をクリック
Service Bus Premium名前空間の作成
- Azure Portalで「Service Bus」に移動
- 「+作成」をクリック
- 価格レベル: Premium（必須）
- その他の必要な情報を入力
- 「確認および作成」→「作成」
マネージドIDの有効化
- 作成したService Bus名前空間を開く
- 左側メニューから「ID」を選択
- 「システム割り当て済み」タブで「状態」を「オン」に設定
- 「保存」をクリック
Key Vaultアクセス制御の設定
オプション1: RBACを使用する場合（推奨）
- Key Vaultの「プロパティ」で「Azure RBACを使用したアクセス許可モデル」を有効化
- Key Vaultの「アクセス制御(IAM)」に移動
- 「+追加」→「ロールの割り当ての追加」をクリック
- 「Key Vault Crypto Service Encryption User」ロールを選択
- 「次へ」をクリック
- 「マネージドID」を選択し、Service BusのマネージドIDを選択
- 「確認と割り当て」をクリック
オプション2: アクセスポリシーを使用する場合
- Key Vaultに戻る
- 左側メニューから「アクセスポリシー」を選択
- 「+アクセスポリシーの追加」をクリック
- 以下を設定：
  - キーのアクセス許可: 取得、キーを折り返す、キーの折り返しを解除
  - プリンシパルの選択: Service BusのマネージドIDを選択
- 「追加」→「保存」
カスタマーマネージドキーの有効化
- Service Bus名前空間に戻る
- 左側メニューから「暗号化」を選択
- 「暗号化の種類」を「カスタマーマネージドキー」に変更
- Key VaultとキーのURIを入力
- 「インフラストラクチャ暗号化」を有効化（二重暗号化、強く推奨）
- 「保存」をクリック