« AWS Summit Tokyo 2013の一般来場申し込みの受け付けを開始 | メイン | 【AWS発表】Amazon Linux AMI 2013.03 が利用可能に »

【AWS発表】 AWS CloudHSM - 安全な鍵の保管と暗号化操作

AWSがサービスを開始した当初は、「AWSは非常に面白そうだけれど、セキュリティについては大丈夫なの?」という質問をよくお聞きしました。

その疑問にお答えするために、AWS セキュリティ & コンプライアンスセンターを作成し、様々なレポート、認定、第三者認証に関する情報を公開したり、Identity and Access Management, Multi-Factor Authenticationセキュリティ証明書、Amazon S3のサーバーサイドおよびクライアントサイドの暗号化のサポート、Elastic Load BalancerのSSLサポートといったAWSに組み込まれたセキュリティ機能に関する情報を提供しております。 AWS セキュリティ & コンプライアンスセンターでは、AWS リスクとコンプライアンスのホワイトペーパーおよびAmazon Web Services セキュリティプロセス概要のホワイトペーパーといったセキュリティに関する参考資料も公開しております。

本日、さらにもうひとつの強力なセキュリティオプション、AWS CloudHSMサービスを追加したことをお知らせいたします。 多くの場合、上記のセキュリティ機能で十分なことがほとんどですが、一部のお客様は、契約や規制による要求で鍵に対する追加の保護を義務づけられている場合があります。CloudHSMサービスはこのようなお客様が、アプリケーションのパフォーマンスを犠牲にすることなく、鍵管理のための厳格な要件を満たすのに役立ちます。

HSMとは? 何をするもの?
HSMは、Hardware Security Module(ハードウェア・セキュリティ・モジュール)の略です。安全な鍵の保管および、耐タンパ性エンクロージャー内の一連の暗号化操作を提供する専用アプライアンスです。HSM内に鍵を保管し、安全かつ健全かつ完全な制御下にあることを維持しながら、データの暗号化と復号化するのに使うことができます。所有者のみがHSMに保存されている鍵へのアクセスできます。

AWS CloudHSM サービス
AWS CloudHSM サービスはクラウドにHSMの利点をもたらします。各々排他的でシングルテナントなアクセスを行うといったように、鍵と自身で作成するHSMにより行われる暗号化操作を完全に制御することができます。暗号鍵は、NIST FIPS 140-2Common Criteria EAL4+といった国際的および米国妾の標準を満たすよう設計された耐タンパ性を備えたHSMにより保護されます。

CloudHSMはそれぞれ、Amazon Virtual Private Cloud (VPC)内のIPアドレスを持ちます。 お客様は暗号化キーを作成管理したり、ユーザーアカウントを作成したり、それらのアカウントを用いて暗号化操作を実行したりできる、アプライアンスに対する管理者の資格情報を受けとることができます。AWSはお客様の鍵にアクセスする権限を持ちません。鍵は常にお客様の制御下に置かれていることになります。Luna SAの専門用語を使うと、AWSはAdminの資格を持ち、お客様はHSM AdminHSM Partition Ownerの資格を持っているということになります。

AWS CloudHSMは現在、米国東部(バージニア北部)およびEU西部(アイルランド)リージョンの複数アベイラビリティーゾーンでご利用いただけます。他のリージョンについては、お客様の需要を基に2013年中にご利用いただけるようにしていきます。

AWS CloudHSMの内部
現在、SafeNet社のLuna SA HSMアプライアンスを提供しています。このアプライアンスはLuna SAソフトウェアのバージョン5が稼動しています。

AWS CloudHSMのセットアップが完了すると、PCKS #11 (Cryptographic Token Interface Standard)、Microsoft Cryptography API (CAPI)、Java JCA/JCE (Java Cryptography Architecture / Java Cryptography Extensions)のような、いくつかの標準的なAPI経由でこれにアクセスすることができます。 Luna SAクラウイアントはアプリケーションにこれらのAPIを提供し、相互に認証されたSSL接続を使用してCloudHSMに接続することによって、各コールを実装しています。これらのAPIの上で稼動するアプリケーションをすでにお持ちの場合は、短期間でCloudHSMを導入することが可能です。

まずはじめに
CloudHSM サービス は本日より、米国東部およびEU西部のリージョンで利用可能となっています。一度限りの先行手数料(現在1HSMあたり$5,000)と、時間あたりの利用料(現在、米国東部リージョンで、1時間あたり、1.88ドル もしくは、平均月額 $1,373)でご利用いただけます。詳しくはCloudHSMの料金ページをご覧ください。

CloudHSMのご利用を開始したい、もしくは詳しく知りたい場合は、こちらからお問い合わせください。こちらのリンクから短期の試用期間をスケジュールすることもできます。

ほとんどの場合、数営業日以内に、お客様あたり1、2個のCloudHSMをご用意することができます。2つ以上の場合、数週間お時間をいただく場合がございます。

さらに詳しい情報
CloudHSMについてのさらに詳しい情報については、CloudHSM FAQCloudHSM入門ガイドCloudHSM ホームページをご確認ください。

堀内康弘 (Facebook, Twitter)

 

コメント

トラックバック

この記事のトラックバックURL:
http://www.typepad.com/services/trackback/6a00d8341c534853ef017c3824e6c5970b

【AWS発表】 AWS CloudHSM - 安全な鍵の保管と暗号化操作を参照しているブログ:

Featured Event

2016年3 月

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31