AWS CloudHSM

AWS Cloud でのマネージド型ハードウェアセキュリティモジュール (HSM) です。

AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。CloudHSM によって、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、アプリケーションを柔軟に統合できます。

CloudHSM は規格にも準拠しているので、お客様の設定に応じて、商用で利用可能な他のほとんどの HSM にキーをすべてエクスポートできるようになります。CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化する完全マネージド型のサービスです。また、CloudHSM は、オンデマンドで HSM のキャパシティーを追加および削除することで、簡単にスケールできます。前払いは必要ありません。

AWS CloudHSM のご紹介

メリット

FIPS 140-2 レベル 3 認証済みの HSM に暗号化キーを生成および使用

AWS CloudHSM によって、FIPS 140-2 のレベル 3 認証済みのハードウェアで、暗号化キーを生成および使用できるようになります。CloudHSM では、不正使用防止策が施された HSM インスタンスへの Amazon Virtual Private Cloud (VPC) 内での専用シングルテナントアクセスを使って、キーを保護します。

セキュアでコンプライアンスに準拠したワークロードのデプロイ

HSM を信頼性の根幹として使用することは、セキュリティ、プライバシーをはじめ、HIPAA、FedRAMP、および PCI といった不正使用防止規制のコンプライアンスを証明するのに役立ちます。AWS CloudHSM によって、AWS クラウド内の HSM インスタンスを利用しながら、高い信頼性と短い時間で、安全かつ適合性のあるワークロードを構築できるようになります。

業界標準で構築されたオープン HSM の使用

AWS CloudHSM を使用すると、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、カスタムアプリケーションを統合できます。また、キーを他の市販の HSM ソリューションに転送して、AWS 内外にキーを簡単に移行することもできます。

暗号化キーの制御の維持

AWS CloudHSM では、ユーザーを作成して HSM のポリシーを設定するために、安全なチャネルを通じて HSM にアクセスできます。CloudHSM を使って生成および使用する暗号化キーにアクセスできるのは、お客様が指定した HSM ユーザーのみです。AWS 側からは暗号化キーは不可視で、アクセスもできません。

簡単な管理とスケール

AWS CloudHSM では、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる HSM 管理タスクを自動化します。オンデマンドでクラスターから HSM を追加および削除することで、簡単にキャパシティーをスケールできます。AWS CloudHSM では、リクエストを自動的に負荷分散し、HSM に保存されているキーをクラスター内のその他の HSM すべてに対して安全に複製します。

AWS KMS キーの制御

デフォルトの KMS キーストアの代わりに、AWS CloudHSM クラスターをカスタムキーストアとして使用するように AWS Key Management Service (KMS) を構成できます。KMS カスタムキーストアを使用すると、KMS と AWS のサービスの統合によるメリットを生かし、KMS マスターキーの保護を HSM の制御下に置いたままデータを暗号化することができます。KMS カスタムキーストアでは、ユーザーが制御するシングルテナント HSM の手軽さと AWS KMS の統合機能の組み合わせから、両方の優れた特徴を利用できます。

ユースケース

ウェブサーバーの SSL 処理のオフロード

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、ウェブサーバーのアイデンティティを確認し、インターネットを通じてセキュアな HTTPS 接続を確立するために使用されます。AWS CloudHSM を使用することでウェブサーバーの SSL/TLS 処理をオフロードすることができます。ウェブサーバーの SSL/TLS 処理に CloudHSM を使用すれば、CloudHSM 内にあるウェブサーバーのプライベートキーを保存することで、ウェブサーバーの負担を軽減し、セキュリティを強化できます。

product-page-diagram_CloudHSM_offload-ssl

発行認証局 (CA) 向けのプライベートキーの保護

公開鍵基盤 (PKI) では、認証局 (CA) がデジタル認証を発行する信頼されたエンティティです。このようなデジタル認証は、個人または組織を識別するために使用されます。AWS CloudHSM を使用すると、プライベートキーを保存し、自社の認証を発行する発行 CA として安全に機能することができるよう、認証リクエストに署名することができます。

product-page-diagram_CloudHSM_ca-1

Oracle データベースでの Transparent Data Encryption (TDE) の有効化

AWS CloudHSM を使用すると、Transparent Data Encryption (TDE) をサポートする Oracle データベースサーバーのために、TDE マスター暗号化キーを保存できます。SQL Server のサポートが近日開始TDE を使えば、サポート対象のデータベースサーバーで、データをディスクに保存する前に暗号化できます。Amazon RDS for Oracle は CloudHSM の TDE をサポートしていません。その場合は、AWS Key Management Service をご利用ください。

product-page-diagram_CloudHSM_database
Standard Product Icons (Features) Squid Ink
製品の特徴を見る

AWS クラウドでのマネージド型ハードウェアセキュリティモジュール (HSM、hardware security module) について、詳細をご覧ください。

詳細 
Sign up for a free account
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Standard Product Icons (Start Building) Squid Ink
コンソールで構築を開始する

AWS マネジメントコンソールで AWS CloudHSM を使った構築を始めましょう。

サインイン