Azure Managed Service Column <Azure運用コラム>

クラウドセキュリティを支える重要な機能「HSM」とは?

Category: 入門編

2022.08.11

HSM の基礎知識と関連する Azure サービスについて解説します

Hardware Security Module ( HSM )とはデジタルデータの保護を目的とし、セキュリティを高めるための物理的なデバイスです。本人真正性に必要な電子証明書が組み込まれたデバイスや、パスポート、運転免許証、銀行のクレジットカードなど重要情報に関わる部分に多く使用されているテクノロジーです。

近年 HSM は物理的なデバイスだけではなくクラウド環境でも利用されており Azure では Azure Dedicated HSM サービスとして提供されています。クラウド時代における HSM について本記事では基礎知識や特徴、役割、導入によるメリット、デメリットも併せて解説します。

1. HSM とは

Hardware Security Module ( HSM )とは、簡単に例えれば、大切な鍵を保管する金庫です。デジタルデータにおける「鍵」とは、暗号化・復号化や電子署名に利用できる鍵を指します。一般的には 128 ~ 2048 bit のバイナリーデータです。この鍵が他人に盗まれると、暗号の不正解読、情報漏洩、偽造などにつながり、大きな被害を被ることになります。

この鍵を守るためにソフトウェアだけでは限界があります。そこで鍵を保管する役目として開発されたのが HSM です。 HSM の形状は様々ですが、鍵を守るためにまさに金庫のような堅牢な作りになっている物理コンピューティングデバイスです。

一般的に電子証明書の暗号鍵と鍵管理に関する国際規格を取得している物理デバイス HSM に分類されます。国際規格の例としてアメリカの FIPS やヨーロッパにおける Common Criteria などが該当します。

1.1 HSM の技術的特徴

HSM には以下のような技術的特徴があります。

単体のデータチップを採用している

暗号化する際のデータ処理で複数のチップを使うと、チップ間のデータ移行時にデータが盗聴されるリスクがあります。そのため基本的に HSM では全ての暗号化処理を単体チップで行っています。

物理構造とデータが一体型である

データを盗もうとする攻撃者が HSM を盗んで分解し機密データを取り出すなどといったことを防止するために、構造上、無理やりこじ開けると、重要な基盤や部品がデータごと破壊されるような作りになっています。
HSM の堅牢性を担保するために、ただ頑丈に作るだけでなく、開けると壊れる仕組みを採用しているのです。

真性乱数生成することができる

暗号鍵はコンピュータが生成する乱数で構成されています。人間が生成する乱数は生年月日のような関連性のある数字を使いがちですが、一般的なサーバーコンピューターにおいても人間と同様に何かしらの関係性が生じてしまうことでソーシャルエンジニアリングの対象になりえる隙ができてしまいます。 HSM ではこれを防ぐために特別な真性乱数生成システムを採用して本質的に純粋な真性乱数の生成を実現することができます。

1.2 主要な国際規格

HSM に分類されるための国際規格について代表的なものを2つ紹介します。

FIPS

アメリカ国立標準技術研究所( NIST )が発行している情報を処理する標準規格です。軍事以外全ての政府機関及び請負業者による利用を目的として米国連邦政府によって開発されました。

FIPS には様々なコードが存在し、その中でもセキュリティの観点から重要視されているのが「 FIPS 140-2 」です。米国連邦政府の省庁等各機関が利用する、ハードウェア及びソフトウェアの暗号モジュールに関する要件を規定する際に求められます。

CC( ISO/IEC 15408 )

情報技術に関連した製品及びシステムが適切なセキュリティで設計され、正しく実装されていることを評価するための国際標準規格です。ヨーロッパ諸国では 1980 年代からセキュリティ評価基準、評価制度が設立し活用されてきました。 1999 年 CC は ISO 標準 ( ISO/IEC 15408 )となり、 2000 年には JIS 標準( JIS X 5070 )として制定されました。

このように厳格なセキュリティ要件に適用するためのソリューションとして HSM は従来のオンプレミス環境でも注目を集めていました。

1.3 クラウドにおける HSM とは

クラウドにおける HSM は物理デバイスのホスティングや保守が必要なくオンプレミス環境における HSM 同等の機能と利用できます。暗号セキュリティ要件を組織のクラウド利用状況に合わせて調整できます。費用面においても初期費、運用費などのコストモデル、セキュリティの予算などを、一部柔軟にカスタマイズすることが可能です。

またクラウドにおける HSM においても、 FIPS 140-2 と CC などの国際規格の要件を満たすことができる機能を持っています。

2. Azure Dedicated HSM とは

クラウドにおける HSM として代表的なのが Azure Dedicated HSM です。Azure 内に様々な重要な暗号化キーの保管場所を提供する Azure サービスです。

Azure Dedicated HSM は厳格なセキュリティ要件に適合したサービスであり、FIPS 140-2 の要件に対する適合が検証済です。また複数の Azure リージョン全体にグローバルにデプロイされるためリージョンレベルのフェールオーバーに対応させることで高可用性を確保することができます。

Azure には暗号化キーを保管するサービスとして他にも Azure Key Vault が存在します。Azure Dedicated HSM は、重要情報を保管するためのマネージド HSM サービスであり、Azure Key Vault にも利用されています。
ここで保管されるものは API キー、パスワード、証明書、暗号化キーなどアクセスを厳密に制御する重要情報です。Azure Key Vault サービスでは仮想コンテナーとマネージド HSM コンテナーがサポートされています。

Azure Dedicated HSMとは
<Azure Dedicated HSMイメージ>

2.1 Azure Dedicated HSM のメリット

Azure Dedicated HSM を利用することでのメリットについて紹介します。

FIPS 140-2 に準拠できる

国内、国外、多くの組織には、FIPS 140-2 認証済みの HSM に暗号化キーを格納することを義務付ける規制が存在します。Azure Dedicated HSM は、さまざまな業界において FIPS 140-2 の要件を満たすことが可能です。

Azureが認証を受けている国際規格
<Azureが認証を受けている国際規格>

シングルテナントデバイスとして完全な管理制御ができる

Azure Dedicated HSM サービスでは、世界中に分散されているマイクロソフトのデータセンターから物理デバイスをプロビジョニングすることができます。ユーザーが HSM への初回アクセス時にパスワードを変更すると、その後はマイクロソフトによる管理制御は行えずその時点から完全な管理制御とアプリケーション管理能力をもったシングルテナントして機能します。

高性能 HSM デバイスを利用できる

Azure Dedicated HSM サービスを提供するために THALES 社と提携しています。 THALES 社のデバイスは幅広い暗号アルゴリズムのサポート、さまざまなオペレーティングシステムのサポート、広範な API のサポートが提供され優れたパフォーマンス実現するデバイスを利用できます。

3. Azure Dedicated HSM の価格について

Azure Dedicated HSM サービスは 1 時間単位での使用料として課金されます。 2022 年 7 月時点では東日本リージョンにおける使用料は約 ¥660 です。

価格は概算のため実際の価格は、契約の種類、購入日、通貨換算レートによって異なる場合があります。事前に販売パートナー、公式ページを確認することを推奨します。

Standard MS Managed Key Standard Customer Key Hardware MS Managed Key Hardware Customer Managed Key Hardware Dedicated HSM
Key Vault Offer Standard Premium P1 Azure Dedicated HSM
Method Software Hardware Hardware
Technology Abstraction over the Thales nShield hardware Hardware Security Module(HSM) from Thales nShield SafeNet Luna Network HSM 7 devices from Gemalto
Certification FIPS 140-2 Level 2 FIPS 140-2 Level 3
Key Owner Maneged Key by Microsoft Customer Key Maneged Key by Microsoft Customer Key Customer Key
Isolation Shared solution but strongly isolated by RBAC(even MS cannot access) and by HSM built-in security Dedicated solution, you are the only ones who can access it
Security Level × ×
Exploitation Cost ×
Cost ×

4. まとめ

HSM の基礎知識、特徴、規格、クラウドにおける HSM 、メリットなどについて紹介しました。 HSM はオンプレミス、クラウド問わず活用できるテクノロジです。重要情報の漏洩や改ざん防止に活用できます。

例えば国内ではさまざまなものにICチップがついています。パスポート、キャッシュカード、クレジットカード、マイナンバーカード、運転免許証、スマートフォン等、これらのデータは HSM によって暗号化されています。

HSM を導入すれば強固なセキュリティを構築できますが導入コスト、運用コストを考えると全ての企業が手軽に導入できるものではありません。しかしセキュリティの観点から安全に対する有効的な投資と言えます。

ソフトウェアにおける暗号処理に脆弱性があることも事実であり高度なセキュリティを求めるならば HSM は必要不可欠なアプライアンスです。導入に当たっては専門家へ相談されることも推奨いたします。

Azure の導入を相談する

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家がサポートいたします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure Dedicated HSM Azureセキュリティ

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php