HSM(Hardware Security Module:耐タンパ装置)とは、暗号鍵の保護を目的とした専用の暗号化プロセッサです。 簡単にいうと、データの暗号化やデジタル署名の生成に使用する鍵を安全に保管・演算をするハードウェアです。
HSMを使わなかった場合と使った場合について解説していきましょう。
パソコンやサーバに格納されたデータの暗号化をしたとしても、同じパソコンやサーバのディレクトリに鍵を置いておくと、簡単に鍵を盗難されてしまい、しかも盗難されたことに気が付かないかもしれません。機密情報を暗号化した鍵が盗まれてしまったら、対応・対策面で莫大なコストがかかるだけでなく、信頼損失等の面でも多大な影響を与えてしまうことは容易に想像できます。
そこで、鍵を保管するハードウェアとして作られたのがHSMです。そのため、HSMは多様な攻撃から鍵を守るための機能を備えるように作られています。
また最近では、中央官庁や金融機関、医療機関等で重要なデータを暗号化する鍵の保護をHSM で行うことが義務付けられ、欧米においては情報漏洩における影響を考慮し、これらの業界以外の一般企業でもHSMの導入が積極的に行われています。今後、暗号化を行うシステムではHSMの導入が当然の流れになると思われます。
HSM導入の課題
いかにパフォーマンスを維持するか
HSMは利用する業務システムやデータベースにとって重要なハードウェアとなりますので、冗長化や処理性能要求を満たすような構成を設計・構築する必要があります。最適な構成が実現できない場合、HSMのリソースを余計に消費してしまい、パフォーマンスの劣化や業務に支障が出る状況に繋がってしまいます。
いかに開発・運用コストをおさえるか
開発・運用についても同様で、導入する業務システムに適した運用設計・ルールを決定した上で、使用するライブラリの仕様や、PKI、暗号、HSMの特殊な運用を理解した開発・構築を行わないと、運用・開発コストが膨大になる可能性があります。
難易度の高いインターフェースやAPIの仕様理解
HSMの機能を有効活用するためのアプリケーション開発には、以下の仕様を理解することが必須となります。
- ・ JCA/JCE
- Java言語標準の暗号フレームワーク(JCA: Java Cryptography Architecture)とその拡張(JCE: Java Cryptography Extension)
- ・ PKCS#11
- ICカードに格納されている鍵を使用した暗号演算機能と、鍵や証明書等のデータ管理機能のAPI
- ・ Microsoft CryptoAPI CSP/CNG
- アプリケーションインターフェース層と暗号復号アルゴリズムを提供するCSP(Crypto Service Provider)の2階層から構成される。
CNG(Cryptography Next Generation)はCryptoAPI に置き換わる次世代暗号化方式
HSM 導入に関するトータルサポート
HSM 導入時の作業期間や不安を大幅に低減するサービスです。専門的な知識や経験が必要な導入を機器設定の設計から運用までトータルにサポートします。
鍵管理・暗号処理に特化したライブラリ提供
HSM そのものの仕様やPKI・暗号処理等の複雑な仕組みを理解しなくても、HSMの機能を有効に活用し、開発担当者がHSM の制御や暗号仕様を意識することなく開発することが可能なライブラリです。