Azure Key Vault を使用する拡張キー管理 (SQL Server)

適用対象:SQL Server

SQL Server コネクタ for Microsoft Azure Key Vault を使用すると、SQL Server 暗号化で Microsoft Azure Key Vault を拡張キー管理 (EKM) プロバイダーとして利用して、SQL Server の暗号化キーを保護することができます。

このトピックでは、SQL Server コネクタについて説明します。 その他の情報については、「 Azure Key Vault を使用した拡張キー管理のセットアップ手順」、「 SQL 暗号化機能への SQL Server コネクタの使用」、「 SQL Server コネクタのメンテナンスとトラブルシューティング」を参照してください。

拡張キー管理 (EKM) の概要と用途

SQL Server には、Transparent Data Encryption (TDE)、列レベルの暗号化 (CLE)、バックアップの暗号化など、機密データの保護に有効ないくつかの種類の暗号化が用意されています。 いずれのケースも、この従来のキー階層では、対称データ暗号化キー (DEK) を使用してデータが暗号化されます。 対称データ暗号化キーは、SQL Server に格納されたキーの階層で暗号化することにより、さらに保護されます。 このモデルに代わるのが、EKM プロバイダー モデルです。 EKM プロバイダーのアーキテクチャでは、SQL Server の外側にある外部暗号化サービス プロバイダーに格納された非対称キーを使用して、SQL Server でデータの暗号化キーを保護することができます。 このモデルによって、セキュリティの層が拡充され、キーとデータの管理が分離されます。

次の図は、従来のサービスにおけるキー管理階層と Azure Key Vault システムとを比較したものです。

SQL Server コネクタが、SQL Server と Azure Key Vault の橋渡し的役割を担うことで、SQL Server は、Azure Key Vault サービスのスケーラビリティ、高パフォーマンス、高可用性を活かすことができます。 以下の図は、EKM プロバイダー アーキテクチャにおけるキーの階層がどのように、Azure Key Vault および SQL Server コネクタと連動するかを表しています。

Azure Key Vault は、Microsoft Azure Virtual Machines 上の SQL Server インストール環境で使用したり、オンプレミス サーバー用に使用したりすることができます。 また、資格情報コンテナー サービスでは、厳密な管理および監視下にあるハードウェア セキュリティ モジュール (HSM) を使用し、非対称暗号化キーをより高いレベルで保護するオプションも提供します。 資格情報コンテナーの詳細については、「 Azure Key Vault」を参照してください。

次の図は、Key Vault を使用した EKM のプロセス フローについてまとためものです。 (図の中にプロセス手順番号が示されていますが、図の後に示す設定手順の番号と対応しているわけではありません。)

Note

1.0.0.440 以前のバージョンは置き換えられ、実稼働環境ではサポートされなくなりました。 Microsoft ダウンロード センターにアクセスし、[SQL Server コネクタのメンテナンスとトラブルシューティング] ページの "SQL Server コネクタのアップグレード" に示されている手順を使用して、バージョン 1.0.1.0 以降にアップグレードしてください。

次の手順については、「 Azure Key Vault を使用した拡張キー管理のセットアップ手順」を参照してください。

使用シナリオについては、「 SQL 暗号化機能への SQL Server コネクタの使用」を参照してください。

参照

SQL Server コネクタのメンテナンスとトラブルシューティング