安全なファイル共有を提供する「Azureファイル共有」の3つの新機能とは：Microsoft Azure最新機能フォローアップ（156）

インターネット経由でも安全なファイル共有を提供するサーバレスのAzureサービス「Azureファイル共有」に、「強化された暗号化アルゴリズム」「SMBマルチチャンネル」「予約購入」の3つの新機能が提供されました。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

SMB暗号化でAES-128-GCMとAES-256-GCMに正式対応

　Microsoft Azureのサービス「Azureファイル共有」は、Windows、Linux、macOSクライアントに同一のAzure仮想ネットワーク上ではSMB（Server Message Block）2.1／3.0／3.1.1、およびNFS（Network File System）の機能サブセットによるファイル共有を、インターネット経由ではSMB 3.0以降の「SMB暗号化」を必須とする安全なファイル共有への接続を提供する、サーバレスのファイル共有サービスです。また、AzureのStandardおよびPremiumストレージアカウント機能の一部でもあります。

　Microsoftは2021年9月初め、Azureファイル共有のSMB暗号化において、これまでの「Windows 8」以降のSMB 3.0の「AES-128-CCM」に加え、「Windows 10」以降のSMB 3.1.1の「AES-128-GCM」、および「Windows Server 2022」と「Windows 11」のSMB 3.1.1に追加される「AES-256-GCM」に正式に対応したことを発表しました。

• General availability: Azure Files now supports SMB 3.1.1［英語］（Microsoft Azure）

　以下のドキュメントでは、AES-256-GCMへの対応はWindows 10 バージョン21H1からで、パフォーマンス上の理由により、既定ではAES-128-CCMまたはAES-128-GCMでネゴシエートが行われると説明されています。

• Azure FilesでのSMBファイル共有（Microsoft Docs）

　一方、以下のドキュメントによると、Windows Server 2022とWindows 11からは「AES-256-GCM」と「AES-256-CCM」の暗号化スイートが導入され、高度な暗号化方法が自動的にネゴシエートされるか、「グループポリシー」で強制できると説明されています。

• SMBセキュリティ拡張機能（Microsoft Docs）

　ただし、セキュリティとパフォーマンスの最適なバランスを実現するために、Windows Server 2022とWindows 11では、既定ではAES-128-CCMまたはAES-128-GCMでネゴシエートが行われるとも説明されています。

　暗号化強度のネゴシエートの順番は、SMBサーバ（LAN Managerサーバ）およびSMBクライアント（Lanmanワークステーション）の以下のポリシー設定で調整できます。

• コンピューターの構成\管理用テンプレート\ネットワーク\LAN Manager サーバー\暗号化の順位\暗号の順位
• コンピューターの構成\管理用テンプレート\ネットワーク\Lanman ワークステーション\暗号の順位

　Windows Server 2022とWindows 11では、このポリシー設定が未構成の場合、既定の優先順位である「AES-128-GCM」→「AES-128-CCM」→「AES-256-GCM」→「AES-256-CCM」（ポリシー設定としてはハイフンではなくアンダーバー）の順番でネゴシエートが行われます。そのため、256bit暗号化に対応しているこれらのOS同士の場合でもAES-128-GCMが使用されます。また、Azureファイル共有との接続にもAES-128-GCMが使用されることになります。Windows 10 バージョン21H1（Windows 10バージョン1607以降も同じ）の場合は、「AES-128-GCM」→「AES-128-CCM」が既定の順番になります（画面1）。

画面1　「AES-256-GCM」によるSMB暗号化は、おそらくWindows Server 2022とWindows 11から利用可能。ただし、Azureファイル共有側またはSMBクライアント側で強制しない限り、既定の優先順位に従って「AES-128-GCM」でネゴシエートされる

　試しにWindows 10 バージョン21H1のSMBクライアントのポリシー設定に「AES_256_GCM」だけを記述してみましたが、Azureファイル共有やSMB暗号化が有効なWindows Server 2022のファイル共有に接続することはできませんでした（アクセスが拒否されます）。そのため、Windows 10 バージョン21H1でのAES-256-GCMのサポートに関する記述はドキュメントミスである可能性があります。当初、バージョン21H1での実装を目指して開発されてきたのかもしれません。

最新情報

　AES-256-GCMのサポートは、Windows Server 2022およびWindows 11から（Windows 10 バージョン21H1はAES-128-GCM）とドキュメント（英語）が訂正されました。

SMB 3.1.1のSMBマルチチャンネルに正式対応

　SMB 3.0とSMB 3.1.1は、ファイルサーバとSMBクライアントの両方で複数のネットワーク接続（複数のネットワークアダプター、または単一のRSS対応アダプター）が利用可能である場合、「SMBマルチチャンネル」を利用することが可能です。SMBマルチチャンネルは、SMBクライアントに対して2倍以上の読み取り速度と3倍以上の書き込み速度、ネットワーク障害に対する冗長性（複数のネットワークアダプターが利用可能な場合）を提供します。

　Windows 10以降のSMB 3.1.1を使用するSMBクライアントでは、Azureファイル共有に対するSMBマルチチャンネルによる接続が正式にサポートされました。なお、Azureファイル共有を利用できるのは、PremiumストレージアカウントのAzureファイル共有に限られ、既定では「無効」になっています（画面2、画面3）

• SMB Multichannel for Azure Files is generally available［英語］（Microsoft Azure）

画面2　PremiumストレージアカウントのAzureファイル共有でSMBマルチチャンネルを有効化する（既定は無効）

画面3　「Get-SmbMultiChannelConnection」コマンドレットを管理者として実行すると、SMBマルチチャンネルが利用されているかどうかを確認できる

容量の予約購入でディスカウント価格に

　3つ目の新機能は、機能ではなく新しい購入オプション「Reserve capacity」です。従来の従量価格とは別に、Azureファイル共有で使用する容量をあらかじめ購入予約することで、全体のコストを節約できるようになりました。購入予約は、「Premium」「ホット」「クール」の各層について、10TBまたは100TBの単位で、1年または3年のコミットメントで購入できます（画面4）。

• Azure Filesの価格（Microsoft Azure）
• 予約の購入（Microsoft Docs）

画面4　Azureファイル共有も購入予約の対象になった

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2009 to 2022（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。