HSM(ハードウェア・セキュリティ・モジュール)
掲載:2024年08月15日
用語集
「HSM(ハードウェア・セキュリティ・モジュール)」とは、暗号鍵の安全な生成・保管・使用に特化した専用のハードウェアデバイスです。暗号化、復号、デジタル署名などの暗号処理に関するさまざまな操作を安全に実行できるように設計されています。
サイバー攻撃の脅威が高まる中、大切な暗号鍵を守る手段として、幅広く普及している装置です。具体的な利用例として、ICパスポート、運転免許証などの暗号化、クレジットカード決済、ソフトウエアのライセンス認証、クラウドサービスのログイン認証、自動車制御などがあります。
HSMが求められる理由
従来の暗号鍵管理には、さまざまなリスクがありました。
例えば、ソフトウェアを使った管理では、メモリ上に保存された暗号鍵のデータが悪意のあるプログラムや不正アクセスによって盗み取られるリスクがあります。また、暗号鍵を分散管理している場合には、管理が複雑になり、鍵の紛失や流出を完全に防ぐことは困難です。
暗号鍵が盗まれてしまうと、重要な情報を守るための暗号化が無効になり、情報漏えいやデータ改ざんのリスクが生じます。
これに対して、HSMは暗号鍵の生成・保管・使用を物理的に独立した専用のハードウェア内で行うため、外部から鍵を盗み出すことが困難です。また、HSMは高い「耐タンパー性」も備えています。
耐タンパー性とは、物理的な攻撃や解析から内部の情報を守る能力のことです。例えば、HSMを盗み出して物理的に分解しようとした場合には、内部の情報が自動的に消去されるような仕組みがあります。
このように、従来の方法に比べて強固な暗号鍵管理を実現するHSMは、金融機関や医療分野などの高度なセキュリティが求められる企業でのニーズが高まっています。
HSMの主な機能
HSMは、主に以下のような機能を備えています。
- 1. 暗号鍵の生成
- 高品質な乱数生成機能を内蔵し、強力で予測不能な暗号鍵を生成する機能です。これにより、攻撃者が暗号を推測するリスクを低減できます。
- 2. 暗号鍵の保管
- 物理的に独立した環境で、暗号化データと分離して暗号鍵を安全に保管する機能です。先述した高い耐タンパー性も備えており、論理的・物理的な攻撃から暗号鍵を守ります。
- 3. 暗号鍵の使用
- 暗号化・復号・デジタル署名・認証などの暗号操作を、HSM内で安全に実行できる機能です。暗号鍵がHSMの外に出ることはなく、保護された環境内で実行されるため、処理中の漏えいを防止できます。
こうした機能により、HSMは暗号鍵のライフサイクル全体を安全に管理し、企業のセキュリティリスクを大幅に低減します。
HSMの種類
HSMには、用途や導入環境に応じていくつかの種類があります。代表的な4つを紹介します。
- ・ネットワークHSM
- ネットワークに接続して使用するタイプのHSMです。複数のサーバーやアプリケーションからアクセスできるため、企業全体で一元的に暗号鍵を管理できます。
- ・PCIe HSM
- サーバーのPCI Expressスロットに直接挿入して使用するタイプのHSMです。物理的にサーバー内に設置されるため、低レイテンシ(低遅延)で高速に処理できます。
- ・USB HSM
- USBポートに接続して使用する小型のHSMです。比較的低コストで導入でき、個人での利用や小規模な環境でのセキュリティ強化に適しています。
- ・クラウドHSM
- クラウドプロバイダーが提供するHSMサービスです。物理的なハードウェア管理の負担がない一方、プロバイダーが適切なセキュリティ対策を講じているか確認する必要があります。
HSMの導入を検討する際は、セキュリティ要件や運用環境、予算などを考慮して、ニーズに適したHSMを選択しましょう。