ディスク暗号化機能
[更新: 2025年9月17日]
概要
ディスク暗号化機能は、サーバ上で行われるディスクへの読み書きに対し、 そのI/Oを受け持つクラウド基盤内の仮想デバイスドライバで透過的に暗号化・復号処理を行うオプション機能です。
これにより、ホストサーバ内のIOバッファや仮想ネットワーク、ストレージ装置とのネットワーク経路、 ストレージ装置内に保存されるデータなどにおける、暗号化対象の経路におけるデータの窃取や流出に対する安全性を高めることができます。
暗号化および復号処理はさくらのクラウド基盤内で行われるため、 お客様側ではご利用OSに特別な設定を行うことなく、通常のディスクと同様に取り扱うことが可能です。
また、本機能は当社提供のKMS(Key Management Service)による鍵管理に対応しており、暗号化時にKMSキーを指定して利用することが可能です。 詳細は KMS(Key Management Service) をご参照ください。
注意
本機能を有効にして作成したディスクでも、お客様サーバ上では通常のディスクと同様の状態で認識されます。そのため、お客様サーバへの不正侵入や脆弱性を持つアプリケーションによる意図しないデータへのアクセスなどが発生した場合でも通常通りにディスクへ読み書きされます。OS上での不正や脆弱性に対するデータ保護を行う場合は、ユーザ利用領域での暗号化など別途対策をご検討ください。
仕様
暗号化アルゴリズム |
AES256-XTS |
|---|---|
暗号化部分 |
お客様サーバからのディスクI/Oを受け持つ仮想デバイスドライバ以下の仮想化基盤部分 |
暗号鍵の管理者 |
お客様(KMSにて管理) |
機能の有効/無効化タイミング |
有効化: ディスクの新規作成時 |
利用可能サービス |
ディスク(全ゾーン・全プラン対応) |
サーバへの暗号化有効・無効ディスク混在接続 |
可能 |
ディスク修正機能 の利用 |
可能 |
ディスク・アーカイブへのコピーについて
さくらのクラウド基盤上のディスクコピー機能を利用する場合、コピー元ディスクの暗号化機能有効化の有無により以下の制限があります。
コピー先 |
||||
アーカイブ |
暗号化なしディスク |
暗号化ありディスク |
||
コピー元 |
アーカイブ |
○ |
○ |
○ |
暗号化なしディスク |
○ |
○ |
○ |
|
暗号化ありディスク |
× |
× |
○ |
|
注釈
・内部的にアーカイブへのコピー動作となる仕様上、暗号化を有効にしたディスクに自動バックアップ機能を設定することはできません。
・暗号化の有効の有無に関わらずサーバ上では通常のディスクと同様にデータの読み書きが可能となるため、サーバを介して暗号化あり→暗号化なしディスクへコピーすることが可能です。
利用方法
以下の手順にてディスク暗号化をご利用いただけます。
KMSキーの作成
KMSキーの作成につきましては KMS(Key Management Service) をご参照ください
ディスク暗号化時にKMSキーを指定
サーバ作成時、またはディスク単体での作成時に表示されるフォームの「ディスクを暗号化する」のチェックボックスを有効にし、使用するKMSキーを選択します。
作成後はディスクの詳細画面でディスク暗号化の状態が確認できます。
2025年9月17日以前からディスク暗号化機能をご利用のお客様に関して
2025年9月17日以前にディスク暗号化機能をご利用されていたお客様につきましては、 以下のお知らせに記載の通り、暗号化方式が KMS(Key Management Service)を利用する方式へと移行されました。
対象のお客様がご利用中のディスクにつきましては、本対応により以下の内容で自動的に暗号化方式が切り替えられております。
KMSを利用した暗号化方式に移行済みです。
暗号化には、弊社側で自動的に発行した KMSキー を使用しています。
自動発行された KMSキー は無償でご利用いただけます。
ただし、この KMSキー は当該ディスク暗号化以外の用途ではご利用いただけません。