AWS CloudHSM

AWS Cloud でのマネージド型ハードウェアセキュリティモジュール (HSM) です。

AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。CloudHSM によって、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、アプリケーションを柔軟に統合できます。

CloudHSM は規格にも準拠しているので、お客様の設定に応じて商業的に利用可能な他のほとんどの HSM にキーをすべてエクスポートできるようになります。CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化する完全マネージド型のサービスです。また、CloudHSM は、オンデマンドで HSM のキャパシティーを追加および削除することで、簡単にスケールできます。前払いは必要ありません。

AWS CloudHSM のご紹介

メリット

FIPS 140-2 レベル 3 認証済みの HSM に暗号化キーを生成および使用

AWS CloudHSM によって、FIPS 140-2 のレベル 3 認証済みのハードウェアで、暗号化キーを生成および使用できるようになります。CloudHSM では、不正使用防止策が施された HSM インスタンスへの Amazon Virtual Private Cloud (VPC) 内での専用シングルテナントアクセスを使って、キーを保護します。

セキュリティの配備と準拠したワークロード

HSM を信頼性の根幹として使用することは、セキュリティ、プライバシーをはじめ、HIPAA、FedRAMP、および PCI といった不正使用防止規制のコンプライアンスを証明するのに役立ちます。AWS CloudHSM によって、AWS クラウド内の HSM インスタンスを利用しながら、高い信頼性と短い時間で、安全かつ適合性のあるワークロードを構築できるようになります。

業界標準で構築されたオープン HSM の使用

AWS CloudHSM を使用すると、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、カスタムアプリケーションを統合できます。また、キーを他の市販の HSM ソリューションに転送して、AWS 内外にキーを簡単に移行することもできます。

暗号化キーの制御の維持

AWS CloudHSM では、ユーザーを作成して HSM のポリシーを設定するために、安全なチャネルを通じて HSM にアクセスできます。CloudHSM を使って生成および使用する暗号化キーにアクセスできるのは、お客様が指定した HSM ユーザーのみです。AWS 側から暗号化キーを認識することや暗号化キーにアクセスすることはできません。

負荷分散と高可用性

AWS CloudHSM では、リクエストを自動的に負荷分散し、HSM に保存されているキーをクラスター内のその他の HSM すべてに対して安全に複製します。可用性と耐久性のある構成にするには、複数の AZ 間で少なくとも 2 つの HSM を使用することをお勧めします。

簡単な管理

AWS CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。オンデマンドでクラスターから HSM を追加および削除することで、簡単にキャパシティーをスケールできます。

仕組み

CloudHSM_Diagrams_2-final

AWS CloudHSM はお客様の Amazon Virtual Private Cloud (VPC) 内で実行されるため、お客様の Amazon EC2 インスタンスで実行されているアプリケーションで HSM を簡単に使用できます。CloudHSM では、HSM へのアクセスを管理するために、標準の VPC セキュリティコントロールを使用できます。アプリケーションは、HSM クライアントソフトウェアによって確立された相互認証済み SSL チャネルを使用して HSM に接続されます。HSM は、EC2 インスタンスの近くにある Amazon データセンターに配置されるため、アプリケーションと HSM 間のネットワークレイテンシーはオンプレミスの HSM よりも低くなります。

A: AWS では、ハードウェアセキュリティモジュール (HSM) アプライアンスが管理されるが、キーへのアクセス権は持たない

B: お客様は自分のキーを制御して、管理する

C: アプリケーションのパフォーマンスが向上する (AWS ワークロードと近接しているため)

D: 複数のアベイラビリティーゾーン (AZ) で利用できる、不正使用防止策が施されたハードウェアでの安全なキーストレージ

E: HSM は Virtual Private Cloud (VPC) 内にあり、他の AWS ネットワークから分離されている

責任の分離とロールベースのアクセスコントロールは、AWS CloudHSM の設計の特徴です。AWS は HSM の状態およびネットワークの可用性を監視しますが、HSM 内に保存されるキーマテリアルの作成や管理は行いません。HSM、および暗号化キーの生成と使用は、お客様がコントロールします。

ユースケース

ウェブサーバーの SSL 処理のオフロード

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、ウェブサーバーのアイデンティティを確認し、インターネットを通じてセキュアな HTTPS 接続を確立するために使用されます。AWS CloudHSM を使用することでウェブサーバーの SSL/TLS 処理をオフロードすることができます。ウェブサーバーの SSL/TLS 処理に CloudHSM を使用すれば、CloudHSM 内にあるウェブサーバーのプライベートキーを保存することで、ウェブサーバーの負担を軽減し、セキュリティを強化できます。

product-page-diagram_CloudHSM_offload-ssl

発行認証局 (CA) 向けのプライベートキーの保護

公開鍵基盤 (PKI) では、認証局 (CA) がデジタル認証を発行する信頼されたエンティティです。このようなデジタル認証は、個人または組織を識別するために使用されます。AWS CloudHSM を使用すると、プライベートキーを保存し、自社の認証を発行する発行 CA として安全に機能することができるよう、認証リクエストに署名することができます。

product-page-diagram_CloudHSM_ca-1

Oracle データベースでの Transparent Data Encryption (TDE) の有効化

AWS CloudHSM を使用すると、Transparent Data Encryption (TDE) をサポートする Oracle データベースサーバーのために、TDE マスター暗号化キーを保存できます。SQL Server のサポートが近日開始TDE を使えば、サポート対象のデータベースサーバーで、データをディスクに保存する前に暗号化できます。Oracle 向け Amazon RDS は CloudHSM の TDE をサポートしていません。その場合は、AWS Key Management Service をご利用ください。

product-page-diagram_CloudHSM_database

AWS の使用を開始する

icon1

AWS アカウントにサインアップする

AWS 無料利用枠にすぐにアクセスできます。
icon2

10 分間チュートリアルで学ぶ

簡単なチュートリアルで学習します。
icon3

AWS で構築を開始する

詳細手順が記載されたガイドを使って構築を開始すれば、 AWS プロジェクトを開始する助けになります。

AWS CloudHSM の詳細

構築の準備はできましたか?
CloudHSM の使用を開始する
ご不明な点がおありですか?
お問い合わせ