Azure VM マネージドディスク暗号化について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azure VM のマネージドディスク（旧称：VHD）における暗号化について、サーバーサイド暗号化（SSE）の各種オプション – プラットフォーム管理キー（PMK）、カスタマー管理キー（CMK）、二重暗号化の実装方法を詳しく解説します。

ポリシーの説明

Azure マネージドディスクは、Azure VMの永続的なディスクストレージを提供する重要なコンポーネントです。マネージドディスクには、OSイメージ、アプリケーションデータ、ユーザーデータなど、機密性の高い情報が含まれます。このポリシーは、すべてのマネージドディスクに対して適切な暗号化が適用されていることを確認し、データの機密性を保護することを目的としています。

Azureでは、以下のサーバーサイド暗号化（SSE）オプションが利用可能です：

• プラットフォーム管理キー（PMK）による暗号化: Azure が管理するキーによる自動暗号化（既定で有効）
• カスタマー管理キー（CMK）による暗号化: Azure Key Vault または Azure Key Vault Managed HSM で管理される顧客所有のキーによる暗号化
• 二重暗号化: インフラストラクチャ層とプラットフォーム層の両方で異なるキーを使用した多層防御
• ホストでの暗号化: VM ホスト上でのデータ暗号化（一時ディスクとキャッシュも含む）

リスク

マネージドディスクの暗号化が適切に構成されていない場合、以下のような深刻なセキュリティリスクが発生します：

1. データ漏洩リスク: PMKのみの暗号化では、Azure プラットフォームレベルでの不正アクセスに対する保護が限定的です。物理的なディスクへのアクセスや、Azure インフラストラクチャへの高度な攻撃に対して脆弱性が残ります。
2. コンプライアンス違反: HIPAA、GDPR、PCI-DSS、FedRAMP、ISO 27001 などの規制要件では、顧客管理の暗号化キーによるデータ保護が要求される場合があります。PMKのみの暗号化では、これらの要件を満たさない可能性があります。
3. インサイダー脅威: Microsoft のサポートエンジニアや Azure 運用チームによる潜在的なアクセスリスク。CMK を使用することで、顧客側でアクセス制御を完全に管理できます。
4. スナップショット・バックアップの脆弱性: ディスクスナップショットやバックアップも同じ暗号化設定を継承するため、不適切な暗号化は複数の攻撃ベクトルを生み出します。
5. 一時ディスク・キャッシュデータの露出: ホストでの暗号化を有効にしていない場合、一時ディスクやディスクキャッシュのデータが暗号化されず、メモリダンプや物理アクセスによる情報漏洩のリスクがあります。

修復方法

重要: 既存ディスクの暗号化タイプ変更には制限があります。PMK から CMK への変更は可能ですが、二重暗号化への変更はディスクの再作成が必要です。

コンソールでの修復手順

新規マネージドディスク作成時の暗号化設定

1. Azure Portalにログイン
   • https://portal.azure.com にアクセスしてログイン
2. ディスクの作成画面へ移動
   • 左側のメニューから「ディスク」を選択
   • 「+ 作成」をクリック
3. 基本設定の構成
   • サブスクリプション、リソースグループ、ディスク名を設定
   • 地域を選択（Key Vault と同じリージョンを推奨）
   • 可用性ゾーンを必要に応じて設定
   • ディスクの種類（Premium SSD、Standard SSD、Standard HDD、Ultra Disk）を選択
4. 暗号化設定の構成
   • 「暗号化」タブに移動
   • 「暗号化の種類」で以下から選択：
     • プラットフォーム管理キーで保存時に暗号化: Azure 管理の暗号化キー（既定）
     • カスタマー管理キーで保存時に暗号化: CMK による暗号化（推奨）
     • プラットフォーム管理キーとカスタマー管理キーを使用した二重暗号化: 最高レベルのセキュリティ

       

5. CMKを使用する場合の追加設定
   • 「ディスク暗号化セット」を選択または「新規作成」をクリック
   • 新規作成の場合：
     • 暗号化セット名を入力
     • 暗号化の種類を選択（カスタマー管理キーまたは二重暗号化）
     • Key Vault とキーを選択（または新規作成）
     • 自動キーローテーションを有効化（推奨）
6. 確認と作成
   • 設定内容を確認し、「作成」をクリック

最後に

この記事では、Azure VM マネージドディスクの暗号化実装について、サーバーサイド暗号化（SSE）の各オプション – プラットフォーム管理キー（PMK）、カスタマー管理キー（CMK）、二重暗号化の詳細な実装方法を解説しました。

マネージドディスクの暗号化は、クラウドセキュリティの基盤となる重要な要素です。特にカスタマー管理キー（CMK）を使用した暗号化は、規制コンプライアンスへの対応と、暗号化キーの完全な制御を可能にします。適切な暗号化戦略の選択、定期的な監査、そして継続的なキー管理により、エンタープライズグレードのデータ保護を実現できます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Azure マネージドディスクのサーバー側暗号化
• カスタマー管理キーを使用したディスクの暗号化
• ホストでの暗号化の有効化
• 二重暗号化によるディスクの保護
• Azure Key Vault のベストプラクティス
• ディスク暗号化セットの概要