Azure ストレージアカウントでキーローテーション通知の手順

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azureストレージアカウントにおけるアクセスキーのローテーション通知設定について、リスクと対策を解説します。

ポリシーの説明

Azureストレージアカウントのアクセスキーは、ストレージアカウント内のすべてのデータへの完全なルートレベルアクセスを提供する512ビットのキーです。これらのキーはRBACアクセス許可をバイパスし、非常に強力な権限を持つため、定期的なローテーションが不可欠です。

キーローテーションリマインダー機能は、指定された期間（推奨90日）内にキーがローテーションされていない場合、Azureポータルで視覚的な通知を提供します。この機能は2021年10月から利用可能となり、ストレージアカウントのセキュリティ態勢を維持するための重要な管理機能として位置づけられています。

Azure ポータルにログイン
- https://portal.azure.com にアクセス
- 適切な権限（Storage Account Contributor以上）を持つアカウントでサインイン
対象のストレージアカウントに移動
- 検索バーで「ストレージアカウント」を検索
- 対象のストレージアカウントを選択
アクセスキー設定画面を開く
- 左側のメニューから「セキュリティとネットワーク」セクションを展開
- 「アクセスキー」を選択
ローテーションリマインダーの設定
- ページ上部の「ローテーションリマインダーの設定」ボタンをクリック
- 「キーローテーションリマインダーを有効にする」のトグルをオンに切り替え
リマインダー期間の設定
- リマインダー期間を設定（単位：日）
  - 推奨値: 90日（四半期ごと）
  - 高セキュリティ環境: 30日
  - 規制対象環境: 60日
  - 最小値: 1日 / 最大値: 365日
設定の保存
- 「保存」ボタンをクリックして設定を適用
- 設定が正しく適用されたことを確認

事前準備
- 現在使用中のキーを特定（Key1またはKey2）
- アプリケーションの接続文字列の棚卸
- ダウンタイムウィンドウの確保（必要に応じて）
- ロールバック計画の策定
Key2を使用してKey1をローテーション:
```
# 現在のキーの確認
az storage account keys list \
  --account-name <storage-account-name> \
  --resource-group <resource-group-name> \
  --query "[].{KeyName:keyName, LastModified:lastModified}" \
  --output table
```
- アプリケーションがKey1を使用している場合、まずKey2に切り替え
- Key1を再生成
- 新しいKey1をテスト環境で検証
- 監視ログで接続エラーがないことを確認
Key1を使用してKey2をローテーション:
```
# Key2の再生成
az storage account keys renew \
  --account-name <storage-account-name> \
  --resource-group <resource-group-name> \
  --key key2
```
- アプリケーションをKey1に切り替え
- Key2を再生成
- 両方のキーが新しくなったことを確認
キーの安全な保管:
- Azure Key Vaultに保存（推奨）
- シークレットのバージョニングを有効化
- アクセスログとAuditログを有効化
- 必要最小限のアクセス権限を設定（最小権限の原則）
- キーの有効期限を設定
事後確認:
- アプリケーションの正常動作確認
- 接続ログの確認
- 古いキーによるアクセス試行の監視