AWS CloudHSM のアイコン

AWS CloudHSM

専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス

約 1 分で読めます

何ができるか

AWS CloudHSM は、AWS クラウド内に専用のハードウェアセキュリティモジュール (HSM) を提供し、暗号鍵の生成・保管・管理を行うサービスです。HSM は耐タンパー性を持つ専用ハードウェアで、鍵が外部に漏洩しない設計になっています。FIPS 140-2 レベル 3 の認証を取得しており、金融機関や政府機関が求める厳格なセキュリティ基準を満たします。

どのような場面で使うか

金融機関での決済データの暗号化、SSL/TLS 証明書の秘密鍵管理、データベースの透過的暗号化 (TDE) の鍵管理など、高いセキュリティ基準が求められる場面で利用されています。また、規制要件で HSM の使用が義務付けられている業界 (PCI DSS 準拠が必要なクレジットカード処理など) でも採用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

銀行の貸金庫に例えるとわかりやすいでしょう。通常の金庫 (ソフトウェアベースの暗号化) でも貴重品は守れますが、銀行の貸金庫 (HSM) は物理的に頑丈で、こじ開けようとすると中身が自動的に破壊される仕組みがあります。CloudHSM は、この銀行の貸金庫をクラウド上で利用できるようにしたサービスです。

CloudHSM とは

AWS CloudHSM は、暗号鍵を専用のハードウェアで安全に管理するサービスです。HSM (Hardware Security Module) とは、暗号処理に特化した専用のハードウェア装置で、鍵の生成・保管・暗号化処理をハードウェア内部で完結させます。ソフトウェアベースの鍵管理と異なり、鍵がメモリ上に平文で展開されることがないため、極めて高いセキュリティを実現します。

KMS との違い

AWS には暗号鍵を管理するサービスとして KMS (Key Management Service) もあります。KMS はフルマネージドで手軽に使える一方、CloudHSM はユーザーが HSM を専有し、鍵の完全なコントロールを持ちます。KMS では AWS が鍵のバックアップや可用性を管理しますが、CloudHSM ではユーザー自身がクラスターの構成やバックアップを管理します。規制要件で専用 HSM が必要な場合や、PKCS#11 や JCE などの標準インターフェースが必要な場合は CloudHSM を選択します。

クラスター構成と可用性

CloudHSM はクラスター構成で運用します。複数のアベイラビリティゾーンに HSM インスタンスを配置することで、高可用性を確保できます。クラスター内の HSM は自動的に鍵を同期するため、1 台の HSM に障害が発生しても他の HSM で処理を継続できます。本番環境では最低 2 台の HSM を異なるアベイラビリティゾーンに配置することが推奨されています。

はじめかた

CloudHSM を使い始めるには、まず CloudHSM コンソールでクラスターを作成し、VPC とサブネットを指定します。クラスターに HSM インスタンスを追加し、初期化を行います。次に、CloudHSM クライアントソフトウェアを EC2 インスタンスにインストールし、HSM に接続します。Crypto User を作成して鍵の生成・管理を開始できます。

注意点

  • CloudHSM は時間単位の課金で、HSM 1 台あたり約 1.5 USD/時間。KMS と比較して高コストなため、規制要件がない場合は KMS の利用を検討すること
  • HSM の管理者パスワードを紛失すると鍵にアクセスできなくなる。パスワードの安全な保管と復旧手順を事前に確立すること
  • CloudHSM クラスターは VPC 内に配置されるため、接続元の EC2 インスタンスと同じ VPC またはピアリング接続が必要

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス