データの暗号化やヒト・モノの認証に使う「暗号鍵」を安全に守るハードウエア
HSM(ハードウエアセキュリティモジュール)
暗号鍵を不正に搾取しようとする攻撃から物理的に保護するとともに、暗号鍵の生成や保管、データの暗号化・復号、認証、デジタル署名の付与などを可能にする、鍵管理アプライアンス製品です。 さまざまなアプリケーションにHSMを連携させることで、より高度なデータセキュリティを実現します。
目次
暗号鍵を守る「金庫」の役割を担う機器
データを守るために暗号化したとしても、その暗号鍵が漏洩してしまうと、容易に暗号を解読されてしまいます。場合によっては、機密情報流出や偽造といった、企業の収益や信用に直接的に被害を与えてしまう事態となりかねません。オフィスの重要書類保管庫を施錠する物理鍵をキーボックスや金庫で保護するのと同じように、デジタルの場合も暗号鍵を安全に保護するための専用の機器が必要になります。そのために使用されるのがHSM(ハードウエアセキュリティモジュール)です。
|
|
HSM(ハードウエアセキュリティモジュール)とは
暗号鍵のセキュリティ確保のために設計されており、暗号鍵を不正に搾取しようとする攻撃から物理的に保護するとともに、暗号化、署名、および認証サービスを提供し、さまざまなアプリケーションにHSMを連携させることで、より高度なデータセキュリティを実現できる鍵管理アプライアンス製品です。
■特長
FIPS 140-2 Level 3認定取得※の耐タンパ性
・暗号化・復号やデジタル署名に使用する暗号鍵は物理的に保護され、外部へ流出しない
・暗号鍵はHSM内部で生成・保管し、暗号化/復号処理もHSM内で実行する
各種暗号アルゴリズムのサポート
・RSA(公開鍵暗号)、DSA(デジタル署名)、楕円曲線系(公開鍵暗号)、SHA(ハッシュ)、AES(共通鍵)など
高速暗号処理
・専用チップによる暗号化・復号処理
-
※FIPS 140-2
米国NIST (米国立標準技術研究所) が定める、連邦情報処理基準 (FIPS) Publication 140-2 (FIPS PUB 140-2)は、暗号化ハードウエアの有効性を検証するためのベンチマークです。Level 3は物理的な改ざん防止とIDペース認証に関する要件が定められています。
FIPS 140-2認定は、米国政府とカナダ政府によりテストされ、正式に検証されていることを示します。実用的なセキュリティベンチマークとして世界中の政府および非政府機関において広く採用されています。2026年まで継続され、新たに策定されたFIPS 140-3 (ISO/IEC 19790と整合) への移行作業が始まっています。
対象となる業界
自動車メーカー、自動車部品メーカー、その他機器メーカー(重要インフラ等)
HSMのユースケース
以下のような用途に用いられます。
- ICカードのマスターキーの管理
- IoT機器やコネクテッドカーにおける自動車部品(ECU)の鍵管理
- 公開鍵基盤(PKI)のルート鍵の管理、暗号化署名オペレーションの実行
- クラウドやオンプレミス環境におけるファイルやフォルダの暗号化・復号 (TDE : Transparent Data Encryption / 透過型データ暗号化) で使用するマスター鍵の管理
- WebサーバーのSSL/TLS オフロード (アクセラレーション) とセキュリティ強化
取扱い製品
Thales社製の最新の汎用ハードウエアセキュリティモジュール(汎用HSM)を取り扱っています。
利用シーンに対応した機種を以下から選択可能です。
- ※Thales社 : フランスに本拠を置く電子機器のグローバル企業
■ラインアップ
モデル |
ProtectServer Network HSM |
ProtectServer PCIe HSM |
Luna HSM 7 | Luna PCIe HSM |
---|---|---|---|---|
機器の特徴 | 【ネットワーク接続型】 ネットワークを介した複数システムの管理が可能 |
【PCIe接続型】 さまざまな要件に対応するために物理的にサーバーに装着することが可能 |
【ネットワーク接続型】 ネットワークを介した複数システムの管理が可能 |
【PCIe接続型】 さまざまな要件に対応するために物理的にサーバーに装着することが可能 |
処理性能(参考値) | 25, 220, 3,500 RSA署名1024ビット /秒 | 25, 220, 3,500 RSA署名1024 ビット/秒 | 10,000 RSA署名2048ビット /秒 17,000 AES-GCM /秒 | 10,000 RSA署名2048ビット /秒 17,000 AES-GCM /秒 |
暗号化 API | PKCS#11、Java (JCA/JCE)、Microsoft CAPI および CNG | PKCS#11、Java (JCA/JCE)、Microsoft CAPI および CNG | PKCS#11、Java (JCA/JCE)、Microsoft CAPI および CNG、OpenSSL | PKCS#11、Java (JCA/JCE)、Microsoft CAPI および CNG、OpenSSL |
認証 | FIPS 140-2 レベル 3 | FIPS 140-2 レベル 3 | FIPS 140-2 レベル 3 | FIPS 140-2 レベル 3 |
複数パーティション/複数スロット
※用途による内部的な区切り |
YES | YES | YES | NO |
鍵同期 | YES ※手動同期(作り込み)が必要 |
YES ※手動同期(作り込み)が必要 |
YES | YES |
電源の冗長化 | YES | 非該当 | YES | 非該当 |
カスタムモジュール対応 | YES | YES | YES | YES |
■外観
ProtectServer 3 HSM
|
|
Luna HSM 7
|
|
HSM保守
金融システム分野で多数実績のある株式会社インテリジェント ウェイブと連携し、HSMの保守および鍵管理システムのインテグレーションを推進します。
|
株式会社インテリジェント ウェイブ 概要
- 大日本印刷のグループ会社で、決済関連システム、金融システム、セキュリティ分野に事業を展開
- クレジットカード分野に30年以上携わっており、業界で高いシェアの製品を提供可能
- 金融システム(フロント系/情報系/基幹系)提供実績 多数(決済用Payment HSM含む)
- 自動車業界向けHSM導入実績あり
- インフラ~アプリケーションまでトータルでのシステムインテグレーションが可能
- 決済ネットワーク接続システムにおいて、24時間365日止まらないシステムを自社開発で提供
株式会社インテリジェント ウェイブ : https://www.iwi.co.jp/
保守内容
お問合わせ受付
- HSM製品に関する操作方法等の技術的なお問合わせ
- 平日 9:00~17:00 (祝日、年末年始 12/29~1/4を除く)
- ハードウエア故障発生時のお問合わせ
- 24時間365日受付