Azureストレージアカウントのカスタマーマネージドキー暗号化設定手順

2026.01.15

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azureストレージアカウントでカスタマーマネージドキーによる暗号化を設定する方法について、リスクと対策を解説します。

ポリシーの説明

Azureストレージアカウントでは、既定でMicrosoftが管理する暗号化キーを使用してAES 256ビット暗号化が実施されますが、より高度なセキュリティとコンプライアンス要件を満たすためには、カスタマーマネージドキー（CMK）を使用した暗号化が推奨されます。CMKを使用することで、暗号化キーのライフサイクル全体を組織が管理でき、キーのローテーション、無効化、監査などを自由に制御できます。2025年現在、クロステナントCMKやCustomer-Provided Keys (CPK)などの新機能も利用可能です。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、ストレージアカウントでカスタマーマネージドキーによる暗号化を有効にします。

前提条件の確認

Azure Key VaultまたはAzure Key Vault Managed HSMが作成されていること
Key Vaultで「削除保護（Purge Protection）」と「論理的な削除（Soft Delete）」が有効になっていること（CMKでは必須）

手順

Azure Key Vaultの準備
- Azure Portalで「Key Vaults」に移動
- 既存のKey Vaultを選択、または新規作成
- 「プロパティ」から以下を確認：
  - 「論理的な削除（Soft Delete）」: 有効（2019年12月以降の新規Vaultでは既定で有効）
  - 「削除保護（Purge Protection）」: 有効化する（CMKでは必須、一度有効化すると無効化不可）
  - 「保持期間」: 7～90日（デフォルト90日）
暗号化キーの作成
- Key Vaultの「キー」セクションに移動
- 「生成/インポート」をクリック
- 以下の設定でキーを作成：
  - オプション: 生成
  - キーの種類: RSA
  - RSAキーのサイズ: 2048、3072、または4096
  - キー名: storage-encryption-key（任意）
- 「作成」をクリック
ストレージアカウントのマネージドIDの有効化
- 対象のストレージアカウントに移動
- 「セキュリティとネットワーク」→「ID」を選択
- 以下のいずれかを選択：
  - システム割り当て済み（既存ストレージに推奨）: 「状態」を「オン」に設定
  - ユーザー割り当て済み（2025年推奨）: 事前作成したユーザー割り当てIDを選択
- 「保存」をクリック
- 表示されるオブジェクトIDをメモ
Key Vaultアクセスポリシーの設定
- Key Vaultに戻り、「アクセスポリシー」を選択
- 「アクセスポリシーの追加」をクリック
- 以下の設定を行う：
  - キーのアクセス許可: 「取得」「キーの折り返しを解除」「キーを折り返す」
  - プリンシパルの選択: ストレージアカウントのマネージドIDを選択
- 「追加」→「保存」をクリック
ストレージアカウントでCMKを有効化
- ストレージアカウントの「セキュリティとネットワーク」→「暗号化」に移動
- 「暗号化の種類」で「カスタマーマネージドキー」を選択
- 「Key Vault」で準備したKey Vaultを選択
- 「キー」で作成した暗号化キーを選択
- オプション: 「インフラストラクチャ暗号化を有効にする」をチェック（二重暗号化を有効化）
- 「保存」をクリック
暗号化設定の確認