Azureストレージアカウントの共有キーアクセスを無効化する設定手順

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azureストレージアカウントの共有キーアクセスを無効化する方法について、リスクと対策を解説します。

ポリシーの説明

Azure Storage アカウントへのアクセス認証は、標準設定では共有キー（アカウントキー）またはMicrosoft Entra ID（旧Azure AD）の両方が利用できます。共有キー認証は実質的にストレージアカウント全体に対する管理者権限を持つマスターキーとして機能するため、一度流出してしまうと深刻な被害を招く恐れがあります。

本ポリシーでは、この共有キー認証を無効化し、より堅牢なセキュリティを提供するMicrosoft Entra ID認証への移行を推奨しています。Entra ID認証を使用することで、ロールベースのアクセス制御（RBAC）を活用した最小権限の原則に基づく詳細なアクセス管理が可能になります。

実施前の注意点：

• 共有キーアクセスを無効化すると、アカウントキーを使用したすべての接続要求が拒否されます
• アカウントキーによって生成されたSAS（Shared Access Signature）トークンも使用できなくなります
• ユーザー委任SAS（Entra IDで認証）は引き続き利用可能です

リスク

共有キーアクセスを有効のままにしておくと、以下のようなセキュリティリスクが生じます：

1. 全面的なアクセス権限の不正取得: 共有キーが漏洩した場合、ストレージアカウント内のすべてのデータに対する完全なアクセス権が奪取される可能性があります
2. 監査の複雑化: 共有キー認証では、どのユーザーがリソースにアクセスしたかの詳細な追跡が難しく、セキュリティインシデント発生時の調査が困難になります
3. きめ細かいアクセス制御の欠如: 共有キーでは読み取り専用など、必要最小限の権限設定ができないため、過剰な権限が付与されます
4. キーローテーションの運用負荷: 複数のアプリケーションで共有キーを利用している場合、セキュリティ対策として必要な定期的なキー更新作業が複雑化します
5. コンプライアンス要件への不適合: 多くの業界標準やセキュリティフレームワークでは、最小権限の原則と強固な認証メカニズムの実装が求められています
6. 内部脅威のリスク増大: 共有キーが組織内で広く共有されることにより、意図しない情報漏洩や内部不正アクセスの可能性が高まります

修復方法

コンソールでの修復手順

Azure コンソールを使用して、ストレージアカウントの共有キーアクセスを無効化します。

重要: この変更を行う前に、以下の事前確認を必ず実施してください：

• すべてのアプリケーションがMicrosoft Entra ID認証に移行済みであること
• アカウントキーで署名されたSASトークンを使用していないこと
• Azure Storage ExplorerやAzCopyなどのツールがEntra ID認証に対応していること

1. Azure ポータルにログイン
   • https://portal.azure.com にアクセスしてログインします
2. ストレージアカウントに移動
   • 左側のメニューから「ストレージアカウント」を選択
   • 対象のストレージアカウントをクリック
3. 構成設定を開く
   • 左側のメニューの「設定」セクションから
   • 「構成」を選択
4. 共有キーアクセスを無効化
   • 「共有キーによるアクセスを許可する」の設定を探す
   • トグルを「無効」に変更
5. 影響の確認
   • 警告メッセージを読み、影響を理解
   • 既存のSAS（Shared Access Signature）も無効になることに注意

1. 設定を保存
   • ページ上部の「保存」ボタンをクリック
   • 変更の確認ダイアログで「はい」を選択
2. 動作確認
   • アプリケーションが正常に動作することを確認
   • 必要に応じて、Entra ID認証の設定を調整

最後に

この記事では、Azureストレージアカウントの共有キーアクセスを無効化する方法について、リスクと対策を解説しました。

共有キー認証を無効化し、Microsoft Entra ID認証に移行することで、セキュリティを大幅に向上させることができます。特に機密データを扱う環境では、この設定は必須といえるでしょう。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Azure Storage の共有キーアクセスを禁止する – Microsoft Docs
• Azure Storage で Microsoft Entra ID 認証を使用する – Microsoft Docs
• Azure RBAC を使用した Blob データへのアクセス管理 – Microsoft Docs
• ユーザー委任SASの作成 – Microsoft Docs
• CIS Azure Foundations Benchmark v1.5.0
• Azure Security Best Practices – Authentication