AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール(HSM)アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。CloudHSM を使用して、暗号化キーや HSM によって実行される暗号化操作を管理します。

AWS および AWS Marketplace のパートナーにより、AWS プラットフォーム内の重要なデータを保護するための様々なソリューションが用意されています。しかし、暗号キーの管理に関する厳格な契約上のコンプライアンス要件や法律的なコンプライアンス要件が課せられたアプリケーションとデータに対しては、さらなる保護が必要になることがあります。これまで、機密データ(またはそれを保護する暗号キー)はオンプレミスのデータセンターに保管するという選択肢しかありませんでした。困ったことに、これではアプリケーションをクラウドに移行させることはできず、アプリケーションのパフォーマンスも非常に低いものでした。AWS CloudHSM サービスにより、安全なキー管理に対する米国政府標準規格に適合するように設計/検証された HSM 内で暗号キーを保護することができるようになります。データ暗号化に使用される暗号キーを安全に生成、保存、管理することで、ユーザーだけが暗号キーにアクセスできるようになります。AWS CloudHSM により、アプリケーションのパフォーマンスを低下させることなく、厳密なキー管理要件に準拠することができます。

AWS CloudHSM サービスは Amazon Virtual Private Cloud(VPC)と共に動作します。CloudHSM インスタンスは、ユーザーが指定した IP アドレスで VPC 内にプロビジョニングされます。これにより、Amazon Elastic Compute Cloud (EC2) インスタンスに対してシンプルなプライベートネットワーク接続が可能になります。CloudHSM インスタンスを EC2 インスタンスの近くに配置することで、ネットワークレイテンシーは低減され、アプリケーションのパフォーマンスが向上します。AWS は、他の AWS ユーザーとは分離した、CloudHSM インスタンスへの排他的な専用(シングルテナント)アクセスを提供します。複数のリージョンとアベイラビリティーゾーン(AZ)で利用可能な AWS CloudHSM により、お客様のアプリケーションに安全で耐久性のあるキー保存を実現することができます。

AWS を無料でお試しください

まずは無料で始める »
またはコンソールにサインイン

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS の基本的なサポート機能を利用できます。

AWS CloudHSM は現在 AWS 無料利用枠でご利用できないことにご注意ください。

AWS アカウント作成の流れはこちら »

日本担当チームへお問い合わせ »

サービスの一部として、ユーザーにはクラウドの HSM 機能への専用アクセス権があります。AWS CloudHSM は、暗号モジュールに対する情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準(NIST FIPS 140-2)に準拠するように設計された、不正使用防止策が施された HSM アプライアンスで暗号キーを保護します。HSM のキーと暗号化操作のすべてを管理できます。Amazon はユーザーのキーにアクセスすることなく、ハードウェアを管理/保守します。

ハードウェアでキーを保護して第三者からのキーへのアクセスを防止することで、AWS CloudHSM はキー保護に対する最も厳密な法令遵守要件や契約上のコンプライアンス要件に準拠することができます。

CloudHSM API、Command Line Interface (CLI) ツール、および SDK を使用して、専用 CloudHSM インスタンスをいつでも開始したり停止したりできます。

AWS CloudHSM は複数のアベイラビリティーゾーン(AZ)と複数のリージョンで利用できるため、強力なキー保護が必要とされるアプリケーションでも、高い可用性を保つことができます。CloudHSM Command Line Interface (CLI) ツールは、複数のアベイラビリティーゾーンにわたる高可用性 (HA) グループを構成するのに便利です。このツールを使用して、回復力の高いアプリケーションを構築することができます。まれにハードウェア障害が発生したとしても、コマンドをいくつか実行するだけで、新しい CloudHSM インスタンスを起動し、キーを新しい HSM に複製することができます。キーを自分のデータセンターに安全に保管したいなら、AWS CloudHSM を互換性のあるオンプレミスの HSM と共に使用することもできます。これによりキーの耐久性が向上し、AWS 内外にキーを柔軟かつ安全に移行することができます。

CloudHSM インスタンスはお客様の VPC 内に存在するため、お客様の Amazon EC2 アプリケーションと簡単に併用することができます。標準 Amazon VPC セキュリティ機構を使用して、CloudHSM インスタンスへのアクセスを制御します。

CloudHSM インスタンスを EC2 インスタンス近くの VPC に配置することにより、ネットワークレイテンシーが低減され、HSM を使用する AWS アプリケーションのパフォーマンスを向上させることができます。

CloudHSM は、Amazon Redshift、Amazon Relational Database Service (RDS) Oracle、または Root of Trust として機能する SafeNet Virtual KeySecure、Apache (SSL ターミネーション)、Microsoft SQL Server (透過的データ暗号化) などのサードパーティアプリケーションと一緒に使用できます。また、独自のアプリケーションを作成する時に CloudHSM を使用する場合も、PKCS#11、Java JCA/JCE、Microsoft CAPI および CNG など、使い慣れた標準の暗号化ライブラリを引き続き使用できます。

セキュリティやコンプライアンスのために、リソース変更の追跡やアクティビティーの検査が必要な場合には、CloudTrail により、自分のアカウントから実行された CloudHSM API 呼び出しをすべて確認することができます。さらに、syslog を使用して HSM アプライアンスについての操作を検査したり、syslog ログメッセージを独自のコレクターに送信したりすることも可能です。