Q: AWS CloudHSM とは何ですか?

AWS CloudHSM サービスは、AWS クラウド内の専用ハードウェアセキュリティモジュール (HSM) アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすようサポートします。AWS および AWS Marketplace のパートナーにより、AWS プラットフォーム内の重要データを保護するための様々なソリューションが用意されていますが、暗号キーの管理に関して契約上または法令上の義務が課せられたアプリケーションやデータに対しては、追加の保護が必要になることもあります。CloudHSM は既存のデータ保護ソリューションを補完する役割を果たし、HSM 内での暗号キー保護を可能にします。HSM は安全なキー管理に対する米国政府標準規格に適合するように設計/検証されています。CloudHSM はユーザー自身にしかアクセスできない方法で、データ暗号化に使用される暗号キーを安全に生成、保存、管理することができます。

Q: ハードウェアセキュリティモジュール(HSM)とは何ですか?

ハードウェアセキュリティモジュール(HSM)はハードウェアアプライアンスで、不正使用防止策の施されたハードウェアデバイス内での安全なキー保管と暗号化操作が可能になります。HSM は暗号キーデータを安全に保存し、アプライアンスの暗号境界の外側からは見えないようにキーデータを使用できるように設計されています。

Q: CloudHSM を使用すると、どのようなことができるのですか?

CloudHSM サービスを使用して、データベース暗号化、デジタル著作権管理 (DRM)、公開鍵基盤 (PKI)、認証と許可、ドキュメントの署名、トランザクション処理など、さまざまなユースケースやアプリケーションに対応することができます。

Q: CloudHSM はどのように機能しますか?

AWS CloudHSM サービスを使用する際、CloudHSM クラスターを作成します。クラスターには最大 32 個の HSM を追加でき、複数のアベイラビリティーゾーンに分散できます。HSM は自動的に同期され、負荷分散されます。お客様はクラスター内の各 HSM に対する、専用のシングルテナントアクセスを取得します。各 HSM は Virtual Private Cloud (VPC) のネットワークリソースとして表示されます。プロビジョニングの一部としてクラスターの管理者認証情報が提供され、必要に応じて他のユーザーや管理者を作成できます。AWS CloudHSM API を利用した 1 回の呼び出しで (または AWS CLI を使ってコマンドラインで)、クラスターから HSM の追加や削除を実行できます。CloudHSM クラスターを作成して初期化した後、EC2 インスタンスでクライアントを設定できます。これにより、安全で認証されたネットワーク接続を用いて、アプリケーションでクラスターを使用できるようになります。

Amazon の管理者は HSM の状態を監視しますが、HSM を設定、管理、使用するためのアクセス権は持っていません。アプリケーションでは標準の暗号化 API と、アプリケーションインスタンスにインストールされた HSM クライアントソフトウェアを連携させて、暗号化リクエストを HSM に送信します。クライアントソフトウェアではクラスター内のすべての HSM に対して安全なチャネルが維持され、リクエストはそのチャネルに送られます。HSM でオペレーションが実行されると、その安全なチャネルから結果が返されます。クライアントは、暗号化 API を使用してアプリケーションに結果を返します。

Q: 現在 VPC を使用していません。それでも AWS CloudHSM を使用できますか?

いいえ。ユーザーの CloudHSM を保護し、他の Amazon のユーザーから分離するため、CloudHSM を VPC 内にプロビジョニングする必要があります。VPC の作成は簡単です。詳細については、『VPC 入門ガイド』を参照してください。

Q: 作成するアプリケーションは、CloudHSM クラスターと同じ VPC 内に配置する必要がありますか?

いいえ。しかし、アプリケーションと HSM クライアントが実行されるサーバーまたはインスタンスには、クラスター内のすべての HSM に到達可能なネットワーク (IP) が必要です。アプリケーションから HSM へのネットワーク接続は、さまざまな方法で確立できます。その中には、同じ VPC 内でアプリケーションを動作させる方法、また、VPC ピア接続、VPN 接続、あるいは Direct Connect を使用する方法があります。詳細については、VPC ピア接続および Amazon VPC ユーザーガイドをご覧ください。

Q: CloudHSM は、オンプレミスの HSM で動作しますか?

はい。CloudHSM はオンプレミスの HSM と直接的には相互運用できませんが、ユースケース、キーの種類、オンプレミス HSM の種類によっては CloudHSM とオンプレミス HSM との間でキーの移動や同期を行うことができます。この件に関するサポートを希望する場合は、AWS コンソールで AWS テクニカルサポートケースを開いてください。

Q: アプリケーションで CloudHSM を使用するにはどうしたらよいですか?

AWS では、Oracle Database 11g および 12c、ウェブサーバー (SSL オフロードに対応した Apache や Nginx) などの数多くのサードパーティのソフトウェアソリューションと CloudHSM を統合し、テストを実施しました。詳細については、CloudHSM ユーザーガイドをご覧ください。

カスタムアプリケーションを開発している場合、PKCS#11、Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) など、CloudHSM でサポートされる標準の API をアプリケーションで使用できます。Microsoft CAPI/CNG は間もなくサポート予定です。コードサンプルおよび開始方法のヘルプについては、CloudHSM ユーザーガイドをご覧ください。

Q: CloudHSM を使用して、キーを保存したり、他の AWS サービスで使用されるデータを暗号化したりすることはできますか?

はい。CloudHSM と統合されたアプリケーションでは、すべての暗号化を使用できます。この場合、S3 や EBS のような AWS のサービスでは暗号化されたデータのみ参照できることになります。

Q: AWS の他のサービスで CloudHSM を使用して、キーの保存や管理を行えますか?

AWS のサービスは現在、CloudHSM と直接統合できません。AWS の多くのサービス (EBS、S3、RDS など) で利用できるサーバー側の暗号化を使用する場合、AWS Key Management Service の使用を検討してください。その他の AWS サービスと CloudHSM の統合については、現在計画中です。詳しい情報については、お問い合わせください

Q: CloudHSM を使用することによって、デビット決済取引で使用される個人識別番号 (PIN) ブロック変換やその他の暗号化操作を実行することは可能ですか?

現在 CloudHSM では、汎用 HSM が提供されています。今後、支払い機能が追加される予定です。詳しい情報については、お問い合わせください

Q: AWS Key Management Service (KMS) と AWS CloudHSM はどのように違いますか?

AWS Key Management Service (KMS) は、暗号化キーの使用と管理を可能にするマルチテナントのマネージドサービスです。どちらのサービスでも、暗号化キー向けの高度なセキュリティが実現します。AWS CloudHSM では、FIPS 140-2 レベル 3 に準拠した、排他的に制御できる専用の HSM を Amazon Virtual Private Cloud (VPC) 内で直接利用できます。

Q: AWS KMS ではなく AWS CloudHSM を使用するとよいのはどのような場合ですか?

以下の要件に該当する場合、AWS CloudHSM の使用を検討してください。

  • サードパーティにより検証され、排他的にコントロールできる、専用のセキュリティハードウェアモジュールへのキーの保存
  • FIPS 140-2 コンプライアンスへの準拠
  • PKCS#11、Java JCE、Microsoft CNG インターフェイスを使用するアプリケーションとの統合
  • 高パフォーマンスの VPC 内暗号化アクセラレーション (バルク暗号化)

Q: Safenet ベースの HSM は使用できなくなりますか?

いいえ。一連の新しい CloudHSM サービスの機能と料金により、代替となる非常に魅力的な手段を提供できると考えていますが、既存のお客様向けにも AWS CloudHSM Classic を継続する予定です。CloudHSM Classic から新しいサービスへの移行をサポートするためのリソースが間もなく利用可能になります。

Q: CloudHSM の使用を開始するにはどうすればよいですか?

CloudHSM コンソールを使用するか、AWS SDK または API からいくつかの API コールを使用して、CloudHSM クラスターをプロビジョニングできます。開始方法の詳細については CloudHSM ユーザーガイドを、Cloud HSM API の詳細については CloudHSM ドキュメントを、また、SDK の詳細についてはアマゾン ウェブ サービスのツールのページをご覧ください。

Q: CloudHSM サービスを停止するにはどうすればよいですか?

CloudHSM API または SDK を使用して、HSM の削除やサービスの使用の停止を行うことができます。詳細については、CloudHSM 入門ガイドを参照してください。

Q: AWS CloudHSM サービスの利用料金の課金と請求はどのように行われますか?

HSM が CloudHSM クラスターにプロビジョニングされた 1 時間 (または 1 時間未満) ごとに時間料金が課金されます。HSM が存在しないクラスターや、暗号化されたバックアップの自動ストレージは請求の対象ではありません。Amazon は、1 か月あたり 5,000 GB を超えて AWS CloudHSM を出入りするネットワークデータ転送に課金する権利を留保しています。詳細については、CloudHSM の料金ページをご覧ください。

Q: CloudHSM サービスに無料利用枠はありますか?

いいえ。CloudHSM に無料利用枠はありません。

Q: CloudHSM のサインアップに前提条件はありますか?

はい。CloudHSM の利用を開始するには、いくつかの前提条件があります。それには、CloudHSM サービスを利用したいリージョンに Virtual Private Cloud (VPC) があることなどが含まれます。詳細については、CloudHSM ユーザーガイドを参照してください。

Q: HSM のファームウェアを管理する必要はありますか?

いいえ。ハードウェアのファームウェアは AWS で管理します。ファームウェアはサードパーティによってメンテナンスされます。また、すべてのファームウェアは、FIPS 140-2 レベル 3 コンプライアンスを満たしているかどうかについて NIST の評価を受ける必要があります。インストールできるのは、FIPS キーによって暗号化された署名済みのファームウェアのみです (AWS にはこのキーへのアクセス権がありません)。

Q: CloudHSM クラスターではいくつの HSM を使用できますか?

AWS では、本番ワークロードには少なくとも 2 つの HSM を、異なる 2 つのアベイラビリティーゾーンで使用することを強くお勧めします。ミッションクリティカルなワークロードには少なくとも 3 つの HSM を、異なる 2 つの AZ で使用することをお勧めします。CloudHSM クライアントでは、HSM の障害を自動的に処理し、複数の HSM 全体でアプリケーションに対して透過的に負荷分散を行います。

Q: キーの耐久性について責任があるのは誰ですか?

AWS では、CloudHSM クラスターの暗号化された自動バックアップを毎日実施し、クラスターのライフサイクルイベント (HSM の追加や削除) が発生した場合には追加のバックアップを行います。次にバックアップが行われるまでの 24 時間の間に作成され、クラスターにインポートされたキーマテリアルの耐久性については、お客様が全責任を負います。キーの耐久性を確保するために、作成されたキーが、異なる 2 つのアベイラビリティーゾーンで少なくとも 2 つの HSM と確実に同期されるようにすることを強くお勧めします。キーの同期を確認する方法の詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: 高可用性 (HA) 構成を設定するにはどうしたらよいですか?

CloudHSM クラスターに最低 2 つの HSM がある場合、高可用性が自動的に設定されます。追加の設定は必要ありません。クラスター内の HSM に障害が発生した場合、HSM は自動的に交換されます。また、すべてのクライアントは更新され、処理を中断することなく新しい設定が反映されます。AWS API または SDK を使用して HSM をクラスターにさらに追加できるため、アプリケーションを中断することなく可用性を向上できます。

Q: CloudHSM クラスターにはいくつの HSM を接続できますか?

1 つの CloudHSM クラスターに最大 32 個の HSM を含めることができます。

Q: CloudHSM のコンテンツはバックアップできますか?

CloudHSM クラスターは AWS によって毎日バックアップされます。キーは、"エクスポート不可" として生成されていない限り、クラスター外にエクスポート ("ラップ") し、オンプレミスに保存することもできます。現時点では他のバックアップオプションは利用できませんが、より包括的なオンプレミスのバックアップ機能を間もなく提供する予定です。

Q: CloudHSM に SLA はありますか?

現在、CloudHSM 用の SLA はありません。

Q: 他の AWS ユーザーと CloudHSM を共有できますか?

いいえ。サービスの一部として、HSM に対してシングルテナントアクセスを取得することになります。基盤となるハードウェアは他のお客様と共有できますが、HSM にアクセスできるのはお客様ご自身のみです。

Q: AWS は暗号化キーにアクセスせずに、どのように HSM を管理しますか?

責任の分離とロールベースのアクセスコントロールは、CloudHSM の設計の特徴です。AWS は HSM への制限された認証情報を所有しています。これにより、HSM の状態と可用性をモニタリングおよび管理し、暗号化されたバックアップを実施し、CloudWatch Logs へ監査ログを抽出し発行することができます。AWS では、お客様のキーを参照または使用したり、これにアクセスしたりすることはできません。また、そのキーを使用した暗号化オペレーションを HSM に実行させることもできません。

責任の分離および各クラスのユーザーが HSM に所有している機能に関する詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: HSM アプライアンスを監視できますか?

はい。CloudHSM では、CloudHSM クラスターおよび個々の HSM 向けに複数の CloudWatch メトリクスが発行されます。AWS CloudWatch コンソール、API、SDK を使用して、このようなメトリクスの取得やアラームの作成を実行できます。

Q: CloudHSM の "エントロピーソース" (乱数源) とは何ですか?

各 HSM には FIPS で検証された決定論的ランダムビットジェネレーター (DRBG) が搭載されています。DRBG では、SP800-90B に準拠する真性乱数ジェネレーター (TRNG) によって HSM ハードウェアモジュール内で生成されたシード値が用いられます。これは、HSM につき 20 Mb/秒のエントロピーを生成できる高品質のエントロピーソースです。

Q: HSM アプライアンスが不正使用された場合はどうなりますか?

CloudHSM には、物理的および論理的な不正使用を検知して応答するメカニズムがあり、これによりアプライアンスのキー削除 (zeroization) がトリガーされます。HSM は、HSM の物理的な防壁が突破された場合、不正使用を検出するように設計されています。また、Crypto Officer (CO) 認証情報を用いた HSM へのアクセスが 5 回失敗すると、HSM アプライアンス自体が削除されます。Crypto User (CU) 認証情報を用いた HSM へのアクセスが 5 回失敗すると、そのユーザーはロックされ、CO によるロック解除が必要になります。

Q: 障害が起こった場合はどうなりますか?

Amazon では、可用性およびエラー条件に対応するため、HSM およびネットワークのモニタリングとメンテナンスを行っています。HSM で障害が発生するか、ネットワーク接続が失われた場合、HSM は自動的に交換されます。CloudHSM API、SDK、または CLI ツールを使用して個々の HSM の状態をチェックすることができます。また、AWS サービス状態ダッシュボードを使用すれば、いつでもサービス全体の状態をチェックできます。

Q: 1 つの HSM アプライアンスに障害が起こった場合、キーが消失する可能性はありますか?

はい。HSM を複数使用しておらず、かつ使用中の CloudHSM クラスターに障害が発生した場合、日ごとに行われる最新のバックアップが実行された後に作成されたキーは消失する可能性があります。どの本番 CloudHSM クラスター内においても暗号キーの消失を防ぐため、Amazon では、複数の HSM を異なる複数のアベイラビリティーゾーンで使用することを強くお勧めします。

Q: アプライアンスに対する認証情報が消失した場合は、Amazon にキーを回復してもらうことはできますか?

いいえ。Amazon にはユーザーのキーや認証情報へのアクセス権がありませんので、認証情報が消失した場合にキーを回復させることはできません。

Q: CloudHSM アプライアンスが信頼できることをどのように確認すればよいですか?

CloudHSM は、連邦情報処理規格 (FIPS) の 140-2 レベル 3 標準を満たすよう設計されています。CloudHSM で使用される基盤となるハードウェアの FIPS 140-2 セキュリティプロファイルは、http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf で確認できます。

CloudHSM ユーザーガイドの「Verify the Authenticity of Your HSM」に記載されている手順に従って、上記リンクの NIST セキュリティポリシーで指定されているものと同じモデルのハードウェアで正規の HSM が使用されていることを確認できます。

Q: FIPS 140-2 モードで CloudHSM を動作させるにはどうしたらよいですか?

CloudHSM は常に FIPS 140-2 モードで動作します。これは、CloudHSM User Guide に記載されているように、CLI ツールを使用して確認できます。getHsmInfo コマンドを実行すると、FIPS モードのステータスが表示されます。

Q: CloudHSM サービスで FIPS 140-2 レベル 3 はサポートされていますか?

はい。CloudHSM は常に FIPS 140-2 レベル 3 モードで動作します。

Q: HSM パーティションの認証情報を自分のインスタンスにどのようにして安全に渡せますか?

AWS セキュリティブログの以下の記事、「IAM ロールを使用して AWS 以外の認証情報を EC2 インスタンスに引き渡す方法」を参照してください。

Q: 自分のアカウントで実行したすべての CloudHSM API 呼び出しの履歴を取得することはできますか?

はい。AWS CloudTrail に、お客様のアカウントで行われた AWS API コールが記録されます。CloudTrail で生成される AWS API コールの履歴を利用して、セキュリティ分析、リソース変更の追跡、コンプライアンス監査を実行できます。CloudTrail の詳細については、CloudTrail のホームページをご覧ください。CloudTrail を有効にするには、CloudTrail の AWS マネジメントコンソールにアクセスしてください。

Q: CloudTrail でログに記録されないイベントはどれですか?

CloudTrail には、HSM デバイスに関するものやアクセスログは含まれません。このようなイベントは、CloudWatch Logs により AWS アカウントに直接配信されます。詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: AWS のコンプライアンスへの取り組みのうち、CloudHSM が含まれているのはどれですか?

CloudHSM に対応しているコンプライアンスプログラムについては、AWS コンプライアンスのサイトをご覧ください。AWS の他のサービスとは異なり、CloudHSM に関するコンプライアンス要件は大抵の場合、別の監査プログラムの一部としてではなく、FIPS 140-2 レベル 3 のハードウェア認定自体によって満たされます。

Q: FIPS 140-2 レベル 3 が重要なのはなぜですか?

FIPS 140-2 レベル 3 は、ドキュメントの署名、支払い、SSL 証明書のための公開認証局のオペレーションなど、特定のユースケースの要件を規定しています。

Q: CloudHSM をスコープに含むコンプライアンスレポートをリクエストするには、どうすればいいですか?

コンプライアンスレポートは、ビジネス開発の担当者を通じてリクエストできます。担当者がいない場合は、こちらからリクエストできます。

Q: CloudHSM では 1 秒間にどれくらいの暗号化オペレーションを実行できますか?

個々の HSM のパフォーマンスはワークロードごとに異なります。下記の表は、いくつかの一般的な暗号アルゴリズムについて、単一 HSM のおおよそのパフォーマンスを示したものです。各 CloudHSM クラスターには最大 32 個の HSM を設定できるため、最大で下記の表に記載されている値の 32 倍までのパフォーマンスを利用できます。パフォーマンスは細かい設定やデータサイズによって異なる可能性があるため、CloudHSM を使用してアプリケーションの負荷テストを実行し、正確なスケーリングのニーズを決定することをお勧めします。

RSA 2048 ビットの署名/検証

1,100 件/秒

EC P256

315 point mul/秒

AES256

300 Mb/秒 (全二重通信方式バルク暗号化)

2048 ビットの RSA キー生成

最大 2 個/秒

乱数生成 (CSPRNG)

20 Mb/秒

Q: 1 つの CloudHSM インスタンスにいくつのキーを保存できますか?

CloudHSM クラスターでは、タイプやサイズに関係なく最大 3,500 個のキーを保存できます。

Q: CloudHSM では Amazon RDS Oracle TDE がサポートされていますか?

いいえ。Amazon RDS Oracle TDE はサポートされていません。ただし、EC2 で動作する Oracle Database (11g および 12c) では Oracle TDE がサポートされています。詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: CloudHSM クライアントとは何ですか?

CloudHSM クライアントは、AWS が提供するソフトウェアパッケージです。これにより、アプリケーションと CloudHSM クラスター間で通信できるようになります。

Q: CloudHSM クライアントによって、AWS から CloudHSM クラスターにアクセスできるようになりますか?

いいえ。CloudHSM クライアントはオープンソースであり、BSD ライセンスの下で公開されています。フルソースディストリビューションはリクエストに応じて利用可能で、お客様が自身のコンパイラツールを使用して構築することもできます。便宜上、デフォルトではバイナリの RPM を提供しています。

Q: CloudHSM コマンドラインインターフェイス (CLI) ツールとは何ですか?

CloudHSM クライアントには一連の CLI ツールが付属しています。このツールセットにより、コマンドラインから HSM を管理および使用できます。現在 Linux がサポートされています。MacOS と Windows は間もなくサポート予定です。一連のツールは、CloudHSM クライアントと同じパッケージに含まれています。

Q: CloudHSM コマンドラインインターフェイスツールをダウンロードして利用開始するには、どうすればよいですか?

CloudHSM ユーザーガイドの手順をご覧ください。

Q: CloudHSM CLI ツールは、AWS に HSM のコンテンツへのアクセスを提供しますか?

いいえ。CloudHSM ツールは、安全な相互認証済みのチャネルを使用して、CloudHSM クライアントにより CloudHSM クラスターと直接通信します。クライアント、ツール、HSM 間の通信はエンドツーエンドで暗号化されており、AWS ではどの通信も確認できません。

Q: CloudHSM クライアントと CLI ツールは、どのオペレーティングシステムで使用できますか?

複数の Linux 系 OS (最新版の Amazon Linux、Redhat、Centos、Ubuntu)、Microsoft Windows、Apple Macos で使用できます。それ以外のオペレーティングシステムで CloudHSM クライアントと CLI ツールを利用する場合は、ご連絡ください。

Q: CloudHSM コマンドラインインターフェイスツールを使用するためのネットワーク接続要件はどのようなものですか?

CloudHSM クライアントを実行しているホスト、または CLI ツールを使用しているホストのネットワークは、CloudHSM クラスター内のすべての HSM に到達可能である必要があります。

Q: CloudHSM の API と SDK では何ができますか?

CloudHSM クラスターと HSM の作成、修正、削除を実行し、そのステータスを取得できます。AWS CloudHSM API で実行できることは、AWS で制限付きアクセスを使用して実行できるオペレーションに限られています。API から HSM のコンテンツにアクセスしたり、ユーザー、ポリシー、その他の設定を修正したりすることはできません。API の詳細については CloudHSM ドキュメントを、SDK の詳細についてはアマゾン ウェブ サービスのツールのページをご覧ください。

Q: HSM アプライアンスでの定期メンテナンスはどのように実行されますか?

AWS の HSM アプライアンスに対する定期メンテナンスの手順は、同一リージョン内の複数のアベイラビリティーゾーンでダウンタイムが同時に発生しないように計画されています。

AWS では HSM の監視と保守を実施しており、特定のハードウェアのアップグレード、交換、テストを行うためにサービスから HSM を削除することが必要になる場合があります。交換の場合、このようなオペレーションはわずか数分で実行される必要があります。また、通常の状況下では、CloudHSM クラスターのパフォーマンスに影響を与えないことが求められます。クラスター内の特定の HSM が交換される場合、これをアクティブに使用しているアプリケーションでは、CloudHSM クライアントがクラスター内の別の HSM にオペレーションを試行している間に一時的な中断が発生する可能性があります。

AWS では、あるアベイラビリティーゾーンの HSM アプライアンスに対して定期メンテナンスを実行してから 24 時間以内に、同一リージョン内の別のアベイラビリティーゾーンの HSM アプライアンスに対してメンテナンスを実行することはありません。

予期せぬ状況においては、事前のお知らせなしに緊急でメンテナンスを実行する可能性もあります。AWS はこのような状況を回避する努力をいたします。また同一リージョン内の複数アベイラビリティーゾーンにある複数の HSM アプライアンスに対して 24 時間以内に緊急のメンテナンスを実行するような状況も避ける努力をいたします。

AWS では、中断の可能性を回避するため、複数の HSM を異なる複数のアベイラビリティーゾーンで使用する CloudHSM クラスターを構成することを強くお勧めします。

Q: CloudHSM に問題があります。何をすればよいですか?

AWS サポートにお問い合わせください。


AWS CloudHSM Classic については、AWS CloudHSM Classic のよくある質問をご覧ください。