さくらのクラウド検定アドバンスド──(06)セキュリティとガバナンス

「さくらのクラウド」を勉強するためのアウトプットを目的に、ドキュメントなどを参照し作成しておりますが、記載の誤りなどが含まれる場合がございます。
最新の情報については、公式ドキュメントをご参照ください。

さくらのクラウド検定アドバンスド試験
https://www.sakura.ad.jp/certification/advanced/

データ暗号化

KMS

暗号鍵の生成・保管・管理・削除を安全に行えるマネジメントサービス

マニュアル
https://manual.sakura.ad.jp/cloud/appliance/kms/index.html

• 料金
  • 月額198円 / KMSキー1個
• エンベローブ暗号化
  • エンベローブ暗号化とは
  • さくらのクラウドの暗号鍵管理 #2 報資産の暗号化を担うKMS（Key Management Service）
• キー生成方法
  • 自動生成
    • FIPS 140-3 level 3 認証を受けた HSM によって生成
  • BYOK
    • 利用者環境で生成した暗号鍵を登録
• キーのステータス変更
  • 有効：利用可能な状態。暗号化✅、復号✅
  • 制限中：暗号化❌、復号✅
  • 一時停止中：暗号化❌、復号❌
• キーの削除
  • 削除保留中：暗号化❌、復号❌
    • KMSキーは削除予約となる。完全に削除されるまでの猶予日数（7～90日）を指定
    • 猶予期間内ならば、削除予約を取り消すことができる
• キーのローテーション
  • キーマテリアルを更新
    • ローテーションすると、「バージョン1→バージョン2→最新」となる
  • 暗号化は更新後のキーマテリアルを利用
  • 以前のキーマテリアルを使用した復号は可能と連携して暗号化
• 利用シーン
  • ディスク暗号化
  • シークレットマネージャのシークレットはKMSで暗号化
• モニタリングスイート
  • メトリクスは非公開（2026年5月時点）
• 鍵の作成・削除などの操作履歴はイベントログで確認
  • イベント
    • キーの作成・削除・削除予約
    • キーのステータス変更
    • キーのローテート
    • キーを使った暗号化・復号
  • イベントログ→EventBus→シンプル通知
    • 削除予約のキーが使われたかどうか監視可能か？
• API
  • 作成：POST/kms/keys
  • 削除：DELETE/kms/keys/{resource_id}
  • 削除予約：DELETE/kms/keys/{resource_id}/schedule-destruction
• サービスクォータ
  • KMSキー数： 100個 / 1プロジェクト

シークレットマネージャ

シークレット情報を集中管理し、運用を効率化

マニュアル
https://manual.sakura.ad.jp/cloud/appliance/secretsmanager/index.html

• メリット
  • DBの接続情報などをハードコーディングしなくてよい
  • シークレットマネージャのシークレットはKMSで暗号化（あらかじめ作成しておく）
• 料金：
  • シークレット保管庫：月額132円
  • シークレットローテーション：月額11,000円 / 登録1件
• シークレット保管庫
  • ゾーンに依存しないグローバルリソース
• シークレットローテーション
  • 同じゾーンのシークレットしかローテーションできない
  • マルチゾーン構成の場合、ゾーン単位でローテーション
  • データベース（アプライアンス）とエンハンスドデータベースのみ
• シークレットの作成・削除などの操作履歴はイベントログで確認
  • イベント
    • Vaultの作成・削除
    • VaultSecretの作成・削除・取得
    • シークレットローテーション予定の作成・削除・即時実行
• さくらのクラウドの暗号鍵管理 #1 機密情報を安全に管理するシークレットマネージャ
  • さくらのクラウドの暗号鍵管理 #3 多くのシーンで活躍するシークレットマネージャとKMS
• API
  • 作成：POST/cloudhsm/cloudhsms/{cloudhsm_resource_id}/clients
• サービスクォータ
  • シークレット最大サイズ：64KB
  • シークレット数：100個 / 1プロジェクト
  • APIリクエスト：100 / 分

クラウドHSM

FIPS 140-3準拠の専用ハードウェアで秘密鍵を保護

マニュアル
https://manual.sakura.ad.jp/cloud/appliance/cloudhsm/index.html

• 料金：
  • 月額352,000円 / 1パーティションあたり
  • 44,000円 / クラウドHSMライセンス
    • クラウドHSMライセンスには事前審査が必要。審査には5営業日程度
    • クラウドHSMに接続するクライアント（サーバ）ごとに必要
• パーティション
  • パーティション内の鍵に対する冗長化、バックアップは存在しない
  • 複数パーティションを契約して冗長構成を導入

ガバナンスと統制

サービスポリシー

組織単位でリソース作成や操作を制御する仕組み

マニュアル
https://manual.sakura.ad.jp/cloud/controlpanel/settings/service-policy.html

• 優先度
  • サービスポリシー > IAMポリシー/IDポリシー
• IAMポリシー vs サービスポリシー
  • IAMポリシー：誰が何をできるか
  • サービスポリシー：何を禁止/制限するか
• ルール
  • ドライラン：ルール違反があってもリクエストはブロックされない

セキュリティコントロール

マニュアル
https://manual.sakura.ad.jp/cloud/controlpanel/eventlog/security-control.html

• イベントログの拡張機能
  • 発見的統制
  • 脅威検知
• 自動アクション
  • シンプル通知
  • Workflows
• 評価ルール
  • パブリックIP割り当て検知：server-no-public-ip
  • 会員権限による操作検知：iam-member-operation-detected
• セキュリティ基準
  • さくらのクラウド セキュリティ基本原則 v1

参考

• さくらのクラウド　マニュアル
  • GitHub > sakura-internet / cloud-manual
• さくらのナレッジ