Azure Key Vault は、Secret (パスワード・接続文字列・API キー)・Key (暗号化鍵)・Certificate (TLS 証明書) を一元管理する Microsoft マネージドのシークレット管理サービスです。 Azure 上のアプリケーションがハードコードされたシークレットを排除し、Managed Identity 経由で動的に取得する『シークレットレスアプリ』を実現する基幹サービス。 本記事では、Key Vault のティア選定・Secret/Key/Certificate の使い分け・RBAC・Managed Identity 統合・セキュリティベストプラクティスを網羅的に整理します。
| 項目 | Key Vault Standard | Key Vault Premium | Managed HSM |
|---|---|---|---|
| 基盤 | ソフトウェア | HSM (共有) | 専有 HSM |
| FIPS 認証 | 140-2 Level 2 | 140-2 Level 3 | 140-2 Level 3 |
| SLA | 99.99% | 99.9% | 99.99% |
| 月額 | 数百-数千円 | Key 1 個 1 USD + 操作料金 | 1,000 USD+ |
| 適用シーン | 一般 Secret/Cert 管理 | HSM 保護 Key 必要 | PCI DSS / HIPAA / 完全分離要件 |
現在の Microsoft 推奨は RBAC (Azure Role-Based Access Control) ベースで、Key Vault Access Policies は旧方式。
新規 Key Vault は『Use RBAC』を選択、既存の Access Policies ベースは RBAC へ移行が推奨です。
現代的なシークレットレスアプリの定番パターン:
client.getSecret('db-connection-string'))これにより Connection String や API Key を App Settings / 環境変数に書く必要が完全になくなり、Git コミットでのシークレット漏洩リスクをゼロ化。Microsoft 推奨の現代的アプリ実装パターンで、すべての新規 Azure アプリで採用すべきです。
| 機能 | 動作 | 状態 |
|---|---|---|
| Soft Delete | 削除時に即時削除せず Retention 期間 (7-90 日) 残す | デフォルト有効・無効化不可 |
| Purge Protection | Soft Delete 中の Purge (即時完全削除) を Disable | 本番で必須・一度有効化すると無効化不可 |
Purge Protection 有効化により、Compromised 認証情報を持つ攻撃者が Key Vault を完全削除する攻撃を防止。 ランサムウェア攻撃などからのデータ復旧の最後の砦となります。本番運用では必須の設定項目です。
本番 Key Vault はPublic エンドポイント無効化 + Private Endpoint 経由のみアクセスが標準。
Selected Networks 方式 (特定 IP / VNet からのみ許可) は Service Endpoint との組み合わせで有効、限定的なシナリオで使用。詳細は Private Endpoint vs Service Endpoint を参照。
Key Vault Certificate の最大の利点は自動更新です。
| 項目 | Standard 料金 | 備考 |
|---|---|---|
| Secret / Software Key 操作 | 0.03 USD / 10,000 トランザクション | 標準利用 |
| HSM Key (Premium のみ) | Key 1 個 1 USD/月 + 0.15 USD / 10,000 トランザクション | HSM 保護用 |
| Certificate 操作 | 3 USD / 証明書 (取得) | Public CA 連携 |
| Managed HSM | 3.20 USD/h ≈ 月 1,000 USD+ | 専有 HSM |
通常用途では Key Vault Standard が月数百-数千円で運用可能、コスト面での障壁は極めて低い。HSM 保護 Key が必要な場合のみ Premium、完全分離 HSM が必要な金融・医療要件のみ Managed HSM を検討します。
Azure Key Vault とは何ですか?
Azure Key Vault は、Secret (パスワード・接続文字列・API キー)・Key (暗号化鍵)・Certificate (TLS 証明書) を一元管理する Microsoft マネージドのシークレット管理サービス。Azure 上のアプリケーションがハードコードされたシークレットを排除し、Managed Identity 経由で動的に取得する『シークレットレスアプリ』を実現する基幹サービス。SLA 99.99% (Standard) / 99.9% (Premium)、コスト最小 (月数百円から)、コンプライアンス対応 (FIPS 140-2 Level 2)。Premium ティアは HSM (Hardware Security Module) ベースで FIPS 140-2 Level 3 対応。同じカテゴリの上位サービス Managed HSM (専有 HSM・FIPS 140-2 Level 3・月 1,000 USD+) もあり。
Standard と Premium ティアの違いは?
Standard: ソフトウェアベース・コスト最安・FIPS 140-2 Level 2 準拠。Key 操作・Secret 操作・Certificate 操作の標準機能を提供、月数百-数千円で運用可能。Premium: HSM (Hardware Security Module) ベースで FIPS 140-2 Level 3 準拠・コンプライアンス要件 (金融・医療・政府) で必要。Key の HSM 保護に追加コスト (Key 1 個あたり月 1 USD・操作 1 万回あたり 0.15 USD)。Premium は HSM 保護 Key が必要な場合のみ選択し、Secret / Certificate 中心の用途は Standard で十分。さらに上位は Managed HSM (専有 HSM・FIPS 140-2 Level 3・月 1,000 USD+) で、PCI DSS / HIPAA / SOC2 要件で完全分離 HSM が必要な場合に。
Key Vault の認証方式は?
現在の Microsoft 推奨は RBAC (Azure Role-Based Access Control) ベースで、Key Vault Access Policies は旧方式。RBAC 方式: Subscription / RG / Key Vault レベルで Microsoft Entra ID ロール (Key Vault Administrator・Key Vault Secrets User・Key Vault Crypto User 等) を割り当て、Managed Identity / Service Principal が認証。Access Policies (旧): Key Vault リソース内で個別のユーザー / Service Principal にアクセス権付与、現在は非推奨。新規 Key Vault は『Use RBAC』を選択、既存の Access Policies ベースは RBAC へ移行が推奨。アプリケーションは Managed Identity + RBAC ロール組み合わせで認証するのが現代的なベストプラクティスです。
Secret / Key / Certificate の使い分けは?
Secret: 任意の文字列を保管 (パスワード・接続文字列・API キー・Token・JSON 文字列)、最大 25 KB、最も汎用的。Key: 暗号化鍵を保管 (RSA・EC・oct)、Sign / Verify / Encrypt / Decrypt / Wrap / Unwrap などの暗号操作を Key Vault 内で実行 (鍵の外部エクスポート不可)。TDE (Transparent Data Encryption) の Customer-Managed Key・SSE (Storage Service Encryption) などで使用。Certificate: X.509 証明書を保管、Public 部分は Secret として取り出し可能、Private Key は Key として保管、Auto Renewal (Let's Encrypt 等の CA 連携) 対応。App Service / Application Gateway の SSL 証明書管理に最適。それぞれが個別のエンドポイント (secrets/keys/certificates) と RBAC ロールを持つ独立リソースです。
Managed Identity と Key Vault の組み合わせは?
現代的なシークレットレスアプリの定番パターン。手順: 1) Azure リソース (VM・App Service・Functions 等) で System-assigned または User-assigned Managed Identity を有効化、2) Key Vault の RBAC で Managed Identity に Key Vault Secrets User ロール付与、3) アプリケーションで Azure Identity SDK (DefaultAzureCredential) を使用、4) Key Vault Secret Client で動的に Secret 取得 (例: `client.getSecret('db-connection-string')`)。これにより Connection String や API Key を App Settings / 環境変数に書く必要が完全になくなり、Git コミットでのシークレット漏洩リスクをゼロ化。Microsoft 推奨の現代的アプリ実装パターンで、すべての新規 Azure アプリで採用すべきです。
Soft Delete と Purge Protection って何ですか?
Soft Delete: Key Vault や Secret 削除時に即時削除せず、Retention 期間 (7-90 日、デフォルト 90 日) 残す機能。誤削除からの復旧が可能、デフォルトで有効・無効化不可。Purge Protection: Soft Delete された Key Vault / Secret を Retention 期間中に強制 Purge (即時完全削除) する機能を Disable。本番環境では必ず Purge Protection 有効化 (一度有効化すると無効化不可)。これにより Compromised 認証情報を持つ攻撃者が Key Vault を完全削除する攻撃を防止。Purge Protection 有効化されている Key Vault は Retention 期間が完全に保証され、ランサムウェア攻撃などからのデータ復旧の最後の砦となります。本番運用では必須の設定項目です。
Key Vault のネットワーク分離は?
本番 Key Vault は Public エンドポイント無効化 + Private Endpoint 経由のみアクセスが標準。設定: 1) Network → Firewalls and virtual networks で『Disable public access』、2) Private Endpoint を VNet に作成 (privatelink.vaultcore.azure.net Private DNS Zone と統合)、3) オンプレからは VPN/ExpressRoute + Azure DNS Private Resolver 経由で解決。Selected Networks 方式 (特定 IP / VNet からのみ許可) は Service Endpoint との組み合わせで有効、限定的なシナリオで使用。本番運用では Microsoft Defender for Key Vault も有効化 (異常アクセスパターン検知・脅威インテリジェンス)、Diagnostic Logs を Microsoft Sentinel に送信して監査トレースが必須です。
関連認定試験は?
AZ-204 (Developer Associate、2026-07 リタイア注意) のドメイン 3 (Security 20-25%) で Key Vault SDK 経由の Secret 取得が深く問われる。AZ-104 (Administrator) で Key Vault の構成・RBAC、AZ-305 (Solutions Architect Expert) でアーキテクチャでの Secret 管理戦略、SC-300 (Identity Admin) で RBAC + Managed Identity の組み合わせ、SC-100 (Cybersecurity Architect Expert) でデータ保護・暗号化戦略、DP-300 (DBA) で SQL DB の TDE Customer-Managed Key、SC-400 (Information Protection) で コンプライアンス対応。Azure を扱うすべてのアプリケーション開発者・運用者にとって Key Vault の理解は必須スキルです。
関連記事・技術深掘り
Azure Managed Identity vs Service Principal 完全比較|認証パターンの選定と実装ベストプラクティス【2026 年版】
Azure の認証エンティティ Managed Identity と Service Principal を完全比較。System-assigned / User-assigned の使い分け、Client Secret vs Certificate vs Workload Identity Federation の選定、AKS Workload Identity、Azure サービス対応状況、関連認定試験 (SC-300 / AZ-204 / AZ-400) を日本語で網羅。実装パターン集付き。
Azure DDoS Protection 完全ガイド|Network/IP Protection・Always On Detection・WAF 組み合わせ【2026 年版】
Azure DDoS Protection の完全ガイド。DDoS Network Protection vs IP Protection vs Infrastructure Protection の使い分け、Always On Detection・Adaptive Tuning・Cost Protection、Application Gateway / Front Door WAF との組み合わせ、Microsoft DRR サポート、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
Microsoft Defender for Cloud 完全ガイド|CSPM・CWPP・Just-in-Time VM・マルチクラウド保護【2026 年版】
Microsoft Defender for Cloud (旧 Azure Security Center) の完全ガイド。Free Tier vs Defender Plans 選定、Microsoft Secure Score・Just-in-Time VM Access・Vulnerability Assessment・マルチクラウド (AWS/GCP) 対応・Microsoft Sentinel との連携・関連認定試験 (SC-200 / SC-100 / SC-500) を日本語で網羅。
Azure Files 完全ガイド|SMB/NFS・Standard/Premium・Entra Kerberos・Azure File Sync【2026 年版】
Azure Files の完全ガイド。Standard vs Premium ティア選定、SMB vs NFS プロトコル、Active Directory 認証 (オンプレ AD・Entra DS・Entra Kerberos)、Azure File Sync によるハイブリッド、AKS Persistent Volume 利用、セキュリティベストプラクティス、関連認定試験 (AZ-104 / AZ-800) を日本語で網羅。
本記事の技術情報は Azure Key Vault Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...