ハードウェアセキュリティモジュール(HSM)
ハードウェアセキュリティモジュール(HSM) とは何ですか?
ハードウェアセキュリティモジュール(HSM)耐タンパー性を備えたハードウェア装置で、暗号鍵を生成・保管・利用するが、生の鍵素材を OS に露出させない。
HSM は、強化されたセキュリティ境界の内側で署名、検証、暗号化、復号、鍵ラップなどの暗号処理を行う専用機器、PCIe カード、またはクラウドサービスです。鍵は装置内で生成され、平文で外に出ることはありません。多くのモデルは FIPS 140-2 や FIPS 140-3 のレベル 2 から 4、Common Criteria の認定を受けています。PKI、コード署名、決済(PIN や EMV)、TLS 終端、データベース暗号化、AWS CloudHSM・Azure Dedicated HSM・Google Cloud HSM などのクラウド KMS の基盤となります。物理・論理の保護には改ざん検知、鍵のゼロ化、役割分離されたクォーラム運用が含まれます。
● 例
- 01
オフライン運用される FIPS 140-3 レベル 3 の HSM で生成・運用されるルート CA の秘密鍵。
- 02
決済スイッチで PIN 変換に使用される PCI HSM。
● よくある質問
ハードウェアセキュリティモジュール(HSM) とは何ですか?
耐タンパー性を備えたハードウェア装置で、暗号鍵を生成・保管・利用するが、生の鍵素材を OS に露出させない。 サイバーセキュリティの 暗号 カテゴリに属します。
ハードウェアセキュリティモジュール(HSM) とはどういう意味ですか?
耐タンパー性を備えたハードウェア装置で、暗号鍵を生成・保管・利用するが、生の鍵素材を OS に露出させない。
ハードウェアセキュリティモジュール(HSM) はどのように機能しますか?
HSM は、強化されたセキュリティ境界の内側で署名、検証、暗号化、復号、鍵ラップなどの暗号処理を行う専用機器、PCIe カード、またはクラウドサービスです。鍵は装置内で生成され、平文で外に出ることはありません。多くのモデルは FIPS 140-2 や FIPS 140-3 のレベル 2 から 4、Common Criteria の認定を受けています。PKI、コード署名、決済(PIN や EMV)、TLS 終端、データベース暗号化、AWS CloudHSM・Azure Dedicated HSM・Google Cloud HSM などのクラウド KMS の基盤となります。物理・論理の保護には改ざん検知、鍵のゼロ化、役割分離されたクォーラム運用が含まれます。
ハードウェアセキュリティモジュール(HSM) からどのように防御しますか?
ハードウェアセキュリティモジュール(HSM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ハードウェアセキュリティモジュール(HSM) の別名は何ですか?
一般的な別名: HSM。
● 関連用語
- cryptography№ 1178
Trusted Platform Module(TPM)
TCG が標準化したセキュリティチップで、マザーボード実装またはファームウェアとして提供され、ハードウェアに根ざした鍵保管、リモート証明、計測起動を行う。
- cryptography№ 419
FIPS 140 / FIPS 140-3
NIST が管理する米連邦標準。暗号モジュールのセキュリティ要件と、認定試験所による認証手続きを定める。
- cryptography№ 248
暗号鍵
暗号アルゴリズムをパラメータ化し、データの暗号化・復号・署名・認証に用いる高エントロピーな秘密または公開値。
- cryptography№ 589
鍵ローテーション
1 つの鍵で保護されるデータ量と漏洩時の影響範囲を抑えるため、暗号鍵を定期的に新しいものへ置き換える運用慣行。
- cryptography№ 1260
YubiKey
Yubico 製のハードウェアセキュリティキー。FIDO2、WebAuthn、U2F、PIV スマートカード、OpenPGP、OTP をサポートし、フィッシング耐性のある認証を実現する。
- cryptography№ 879
公開鍵暗号方式
公開鍵と秘密鍵のペアを用い、事前共有の秘密なしに暗号化・鍵交換・電子署名・認証を実現する暗号学の分野。
● 関連項目
- № 462ハードウェアトークン
- № 246暗号学的消去
- № 829PKCS#11