「HSM」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「HSM (Hardware Security Module, ハードウェアセキュリティモジュール)とは、暗号化プロセッサです。暗号処理を行うハードウェア...」)
(相違点なし)

2015年6月6日 (土) 18:38時点における版

HSM (Hardware Security Module, ハードウェアセキュリティモジュール)とは、暗号化プロセッサです。暗号処理を行うハードウェアです。暗号鍵の管理を安全に行う装置です。

読み方

HSM
えいち えす えむ
Hardware Security Module
はーどうぇあ せきゅりてぃ もじゅーる

概要

暗号において、は、非常に重要な要素です。コンピュータでを扱っている場合、それは、安全でしょうか?を扱うために、メモリにロードして使うことになります。コンピュータのメモリをダンプすることによって、簡単にを盗まれる恐れがあります。

の安全性を保つには、をコンピュータで扱わず、外部のハードウェアで、暗号処理を行うことで、が盗まれるリスクをなくすことができます。その1つのソリューションが、HSMです。

USBで接続できる イメーション(Ironkey) Windows To Go対応 ハードウェア暗号化USBデバイス FIPS 140-2 レベル3認証取得 32GB WGHC0B032G0001 です。

HSMは、取得してる FIPS 140-2(後述)の認証のレベルで、保証されるものが変わってきます。

HSMの基本機能

HSMでは、以下の基本機能を提供しています。

  1. 鍵を生成
  2. 鍵を安全に保管
  3. 暗号処理、電子署名
  4. 乱数を生成

鍵の生成

暗号の処理に使う、鍵を生成します。HSMで作成されたは、HSMの外部に取り出すことはできません。

鍵を安全に保管

鍵を安全に守るために、物理的な攻撃に対しても、構造上の対策がなされています。

暗号処理、電子署名

HSMは、暗号化、復号、電子署名の処理を行います。HSM内の鍵を利用します。HSMを暗号処理のアクセラレータとして利用できます。

乱数を生成

コンピュータで高品質の乱数を生成するのは、難しいです。 HSMには、乱数を発生する機能を内蔵しています。高品質の乱数を生成できます。

FIPS 140

FIPS 140 とは、米国標準技術局 (NIST) が規定しているセキュリティ要件です。

FIPS140-2 のレベル定義
レベル 定義
セキュリティレベル1 暗号モジュールの基本的セキュリティ要求事項が求められる。
セキュリティレベル2 タンパー証跡, Role Based Access Control
セキュリティレベル3 タンパー検知, タンパー応答, Identity Based Access Control
セキュリティレベル4 環境変動、環境状況に対応した保護

コモンクライテリア

コモンクライテリア(Common Criteria, CC)は、情報セキュリティ評価の共通基準です。ISO/IEC15408に規定されています。 正式名称は、 Common Criteria for Information Technology Security Evaluation です。

セキュリティ機能要件

  • FAU (セキュリティ監査)
  • FCO (通信)
  • FCS(暗号サポート)
  • FDP(利用者データ保護)
  • FIA(識別と認証)
  • FMT(セキュリティ管理)
  • RPR(プライバシー)
  • FPT(TOEセキュリティ機能の保護)
  • FRU(資源利用)
  • FTA(TOEアクセス)
  • FTP(高信頼パス/チャネル)

セキュリティ保証要件

EAL(Evaluation Assurance Level, 評価保証レベル)が定義されています。

TCSEC
米国国防総省のセキュリティ評価基準
EAL
CC EAL ITSEC E 意味 TCSEC
EAL1 E0-E1 機能テスト D-C1
EAL2 E1 構造化テスト C1
EAL3 E2 方式的テスト, チェック C2
EAL4 E3 方式的設計, テスト, レビュー B1
EAL5 E4 準形式的設計, テスト B2
EAL6 E5 準形式的検証済み設計, テスト B3
EAL7 E6 形式的検証済み設計, テスト A

HSMの価格

数千円、数万円
スマートカード型、オンボード型
数十万円 - 数百万円
外付け型、内蔵型
数百万円 - 数千万円
アプライアンス型

使用例

  • ネットワークセキュリティ (SSL, DNSSEC)
  • 認証局
  • カード発行システム
  • 決済システム
  • タイムスタンプサーバ
  • データベース暗号
  • 金融系セキュリティ、公的分野のセキュリティ

関連項目