AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。CloudHSM によって、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、アプリケーションを柔軟に統合できます。また、CloudHSM は規格にも準拠しているので、商業的に利用可能な他のほとんどの HSM にキーをすべてエクスポートできるようになります。CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化する完全マネージド型のサービスです。また、CloudHSM は、オンデマンドで HSM のキャパシティーを追加および削除することで、簡単にスケールできます。前払いは必要ありません。

HA_CloudHSM_GENERAL
100x100_benefit_secure

安全性に優れた HSM での暗号化キーの生成と使用

AWS CloudHSM によって、FIPS 140-2 のレベル 3 に準拠した HSM で、暗号化キーを生成および使用できるようになります。CloudHSM では、不正使用防止策が施された HSM への Amazon Virtual Private Cloud (VPC) 内での専用シングルテナントアクセスを使って、キーを保護します。

100x100_benefit_pay-as-you-go

前払いのない従量課金制

AWS CloudHSM では、必要な時に必要な場所で HSM のキャパシティーをプロビジョニングするために、HSM をオンデマンドで起動および停止できます。前払いは必要ありません。

100x100_benefit_build

業界基準で構築されたオープンな HSM の使用

AWS CloudHSM を使用すると、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、カスタムアプリケーションを統合できます。また、キーを他の市販の HSM ソリューションに転送して、AWS 内外にキーを簡単に移行することもできます。

100x100_benefit_key-management

暗号化キーの制御の維持

AWS CloudHSM では、ユーザーを作成して HSM のポリシーを設定するために、安全なチャネルを通じて HSM にアクセスできます。CloudHSM を使って生成および使用する暗号化キーにアクセスできるのは、お客様が指定した HSM ユーザーのみです。AWS 側から暗号化キーを認識することや暗号化キーにアクセスすることはできません。

100x100_benefit_credential

強力な認証でキーを保護

AWS CloudHSM では、管理やキー管理の重要な機能に使用するクォーラム認証や、お客様が提供するトークンを使用する多要素認証 (MFA) もサポートしています。

100x100_benefit_fully-managed

管理が簡単

AWS CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。オンデマンドでクラスターから HSM を追加および削除することで、簡単にキャパシティーをスケールできます。

ユースケースの詳細については以下を参照してください。

CloudHSM_Diagram_SSL-Offloading

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、ウェブサーバーのアイデンティティを確認し、インターネットを通じてセキュアな HTTPS 接続を確立するために使用されます。AWS CloudHSM を使用することでウェブサーバーの SSL/TLS 処理をオフロードすることができます。ウェブサーバーの SSL/TLS 処理に CloudHSM を使用すれば、CloudHSM 内にあるウェブサーバーのプライベートキーを保存することで、ウェブサーバーの負担を軽減し、セキュリティを強化できます。


CloudHSM_Diagram_private-keys-certificate-authority

公開鍵基盤 (PKI) では、認証局 (CA) がデジタル認証を発行する信頼されたエンティティです。このようなデジタル認証は、個人または組織を識別するために使用されます。AWS CloudHSM を使用すると、プライベートキーを保存し、自社の認証を発行する発行 CA として機能することができます。


CloudHSM_Diagrams_TDE-for-Oracle-DB-v2

AWS CloudHSM を使用すると、Transparent Data Encryption (TDE) をサポートする Oracle データベースサーバーのために、TDE マスター暗号化キーを保存できます。TDE を使えば、サポート対象の Oracle データベースサーバーで、データをディスクに保存する前に暗号化できます。ただし、Amazon RDS for Oracle では、CloudHSM を使った TDE をサポートしていません。

AWS CloudHSM は簡単に使用を開始できます。コンソールのチュートリアルに沿って数回クリックするだけで、最初のディレクトリをデプロイできます。

AWS CloudHSM の使用を開始する