ハードウェアセキュリティモジュールとは
Hardware Security Module(HSM)とは、暗号化や暗号鍵の管理などをデバイス側が備えたものです。
主に国際規格のFIPS/CommonCriteria/JCMVPなどの認定を取得しているデバイスを指します。
規格のレベルなどによって保証されるセキュリティ水準は異なります。
AzureではDedicated HSM、AWSではCloudHSMというサービス名で提供されています。
Data Encryption Serviceとは
Data Encryption Serviceとは、Alibaba Cloudが提供しているクラウドホスト型HSMサービスです。
概要
Data Encryption Serviceの機能や特徴、価格などについて説明します。
機能
Data Encryption Serviceが提供する機能として、次の7つが挙げられます。
- キーのライフサイクルの管理
- 複数のキータイプをサポート
- データの暗号化と復号化に対称鍵と非対称鍵をサポート
- 複数のダイジェストアルゴリズムとハッシュベースのメッセージ認証コード(HMAC)のサポート
- 非対称鍵の署名と検証をサポート
- 安全なランダムデータの生成
- HSMクラスター
対応している汎用HSM
対応しているアルゴリズムタイプとその内容はこちらです。
基本的なデータ暗号化のアルゴリズムに対応しているように思います。
| アルゴリズムタイプ | 説明 |
|---|---|
| 対称アルゴリズム | DES/3DES/AES(128,192,256)など |
| 非対称アルゴリズム | RSA(1024~4096), ECCなど |
| ダイジェストアルゴリズム | SHA1, SHA256, SHA384, SHA512など |
特徴
Alibaba CloudのData Encryption Serviceの大きな特徴は5つあります。
1.安全なキーストレージ
HSMを直接使用して暗号化キーを保護します。
(ハードウェアとファームウェアは、FIPS140-2レベル3の認定を受けたものです。)
2.安全な鍵管理
HSMインスタンスの可用性の確保のため、HSMのみ管理し、キーは管理しません。
3.利用しやすさ
HSMインスタンスは、VPCにデプロイされます。
このインスタンスは、指定したプライベートIPアドレスを使用して管理・呼び出しを行います。
4.自動スケーリング
状況に応じてHSMインスタンス数を動的に調整し、負荷分散を実装することが可能です。
5.サービスの有効期限
HSMインスタンスの有効期限が切れた場合、HSMインスタンスは7日間保持されます。
その間にインスタンスを更新されれば、引き続き使用することが可能です。
価格
料金は、月額または年額のサブスクリプション課金方式となっています。
現在サービスが提供されているのは、シンガポール、マレーシア、香港リージョンのみとなっています。
別リージョンで使用する場合は問い合わせが必要です。
HSMユニットごとに金額が設定されています。
2021/12/19現在の価格(価格は変更になる場合があるので、必ず公式サイトでご確認ください。)
| リージョン | Unit Price of HSM(USD/Month) | Unit Price of HSM(USD/Year) |
|---|---|---|
| Singapore(Singapore) | 1,300 | 14,300 |
| Malaysia(Kuala Lumpur) | 1,300 | 14,300 |
| China(Hong Kong) | 1,500 | 16,500 |
まとめ
HSMを利用するとこで、WebサーバーのSSL及びTLS処理のオフロードや、CAの秘密鍵の保護、TDEの実行、クラウド内の機密データの暗号化などに対応しています。
今後日本リージョンでサービスが展開されるといいなと思います。