2020年7月29日 / 最終更新日 : 2020年7月29日 AcroEditUser AWS

【AWS】CloudHSMの使い方について

CloudHSMの使い方を学ぶ

CloudHSMとは?

最初に、AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これによって、AWSクラウドで暗号化キーを簡単に生成して使用できるようになります。

CloudHSMの特徴

CloudHSMで、FIPS 140-2のレベル3認証済みのHSMを使用して、暗号化キーを管理できます。CloudHSMによって、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリといった業界標準の API を使用して、アプリケーションを柔軟に統合できます。

CloudHSMのメリット

CloudHSMの利点について簡単に説明していきます。

1.簡単な管理とスケール

AWS CloudHSMでは、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかるHSM管理タスクを自動化します。オンデマンドでクラスターからHSMを追加および削除することで、簡単にキャパシティーをスケールできます。AWS CloudHSMでは、リクエストを自動的に負荷分散し、HSMに保存されているキーをクラスター内のその他のHSMすべてに対して安全に複製します。

2.暗号化キーの制御の維持

AWS CloudHSMでは、ユーザーを作成してHSMのポリシーを設定するために、安全なチャネルを通じて HSMにアクセスできます。CloudHSMを使って生成および使用する暗号化キーにアクセスできるのは、お客様が指定したHSMユーザーのみです。AWS側からは暗号化キーは不可視で、アクセスもできません。

3.安全なVPCアクセス

AWS CloudHSMはお客様のAmazon Virtual Private Cloud (VPC) 内で実行されるため、お客様のAmazon EC2インスタンスで実行されているアプリケーションでHSMを簡単に使用できます。CloudHSMでは、HSMへのアクセスを管理するために、標準のVPCセキュリティコントロールを使用できます。アプリケーションは、HSMクライアントソフトウェアによって確立された相互認証済みSSLチャネルを使用してHSMに接続されます。HSMは、EC2インスタンスの近くにあるAmazonデータセンターに配置されるため、アプリケーションとHSM間のネットワークレイテンシーはオンプレミスのHSMよりも低くなります。

4.負荷分散と高可用性

AWS CloudHSMでは、他のHSMすべてに対し安全に複製することにより、暗号化の機能性がさらに高まり、キーの耐久性が向上します。キーの複数のコピーが、異なるアベイラビリティーゾーン (AZ) に配置されたHSMに保存されるため、1つの HSM が利用できなくなった場合でもキーの可用性は保たれ、キーは安全に保護されます。

5.AWS KMSキーの制御

デフォルトのKMSキーストアの代わりに、AWS CloudHSMクラスターをカスタムキーストアとして使用するように AWS Key Management Service (KMS) を構成できます。KMSカスタムキーストアを使用すると、KMSと AWSのサービスの統合によるメリットを生かし、KMSマスターキーの保護をHSMの制御下に置いたままで、データを暗号化することができます。KMSカスタムキーストアでは、ユーザーが制御するシングルテナントHSMの手軽さとAWS KMSの統合機能の組み合わせから、両方の優れた特徴を利用できます。

CloudHSMとAWS KMSの比較

まず、AWS Key Management Serviceについてですが、AWS Key Management Service (KMS) を使用することで、暗号化キーを簡単に作成して管理し、幅広いAWSのサービスやアプリケーションでの使用を制御できるようになります。AWS KMSはセキュアで弾力性の高いサービスで、キーを保護するためにFIPS 140-2の検証済みまたは検証段階のハードウェアセキュリティモジュールを使用します。

それでは、このふたつにどのようなちがいがあるのか比べてみました。

<CloudHSM>

・専用のハードウェアで暗号化キーを保管します。

・CloudHSMの方がより安心してキーを管理することが可能です。

・KMSに比べると金額は割高です。

<AWS KMS>

・AWS管理のサーバを共有で利用し、そのサーバで暗号化キーを管理します。

・システム的に他の組織へのアクセス制限はされていますが、物理的には同じサーバ上に存在します。

・CloudHSMに比べると安価に利用することができます。

まとめ

CloudHSMもAWS KMSもそれぞれ特徴やメリットが違うので、互いの機能やちがいを理解して、適切な使い方をすることが重要なのではないでしょうか。

カテゴリー
AWS

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

AWS

前の記事

AWSではどのデータベースを利用するべき?DynamoDBやRDSを比較して紹介
2020年7月29日
AWS

次の記事

Amazon CorrettoをWindows10にインストールする方法
2020年7月29日