Azure SQL Server TLS 1.2以上の必須化設定

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、SQL ServerでTLS 1.1以前のバージョンが有効化されているリスクと対策を解説します。

ポリシーの説明

Azure SQL ServerでTLS 1.0やTLS 1.1などの古いバージョンのプロトコルを使用していると、既知のセキュリティ脆弱性により、通信内容が解読される可能性があります。TLS 1.2以降は、これらの脆弱性に対する修正が含まれており、より強力な暗号化アルゴリズムをサポートしています。

修復方法

コンソールでの修復手順

Azure SQL Database／Managed Instance はサービス側でTLS 1.2を必須化しており、ユーザーがサーバー側でTLS 1.0/1.1を許容に戻す設定はありません。対策はクライアントやドライバをTLS 1.2対応版へ更新し、暗号スイートやOSのTLS設定を見直すことに重点を置きます

1. Azure Portalにログインし、対象のSQL Serverリソースページに移動します。
2. 左側のメニューから「セキュリティ」セクションの「ネットワーク」を選択します。
3. 「接続性」タブの「最小TLSバージョン」セクションで、以下の設定を行います：

• ドロップダウンメニューから「1.2」を選択
• 現在の設定が「1.0」または「1.1」の場合、変更前に影響範囲を確認

4. 段階的移行の推奨手順：
   • 開発環境でTLS 1.2を設定し、1週間テスト
   • ステージング環境で設定し、2週間テスト
   • 本番環境への適用は、メンテナンスウィンドウで実施
5. 「保存」をクリックして変更を適用します。
6. 変更後の確認：
   • 接続テストを実施
   • 監査ログでエラーを確認
   • アプリケーションログを監視

最後に

この記事では、Azure SQL ServerでTLS 1.1以前のバージョンが有効化されているリスクと対策を解説しました。

移行は段階的に実施し、各環境で十分なテストを行ってから本番環境に適用することを強く推奨します。また、監査ログとアラートを設定することで、レガシーTLSを使用しようとする接続を検出し、問題を早期に発見できます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• TLS 1.2 support for Azure SQL Database
• TLS 1.0/1.1 サポート終了のタイムライン
• Azure SQL Database のセキュリティベストプラクティス