AWS CloudHSM ユースケース

AWS CloudHSM は、さまざまな目標を達成するために使用できます。このトピックのコンテンツでは、 でできることの概要を説明します AWS CloudHSM。

規制の確実な順守

企業のセキュリティ標準に準拠する必要がある企業は、 AWS CloudHSM を使用して、機密性の高いデータを保護するプライベートキーを管理できます。が提供する HSMs AWS CloudHSM は FIPS 140-2 レベル 3 認定を受けており、PCI DSS に準拠しています。さらに、 AWS CloudHSM は PCI PIN に準拠し、PCI-3DS に準拠しています。詳細については、「コンプライアンス」を参照してください。

データの暗号化と復号

を使用して AWS CloudHSM 、機密性の高いデータ、転送中の暗号化、保管中の暗号化を保護するプライベートキーを管理します。さらに、 は、複数の暗号化 SDKsとの標準準拠の統合 AWS CloudHSM を提供します。

文書へのプライベートキーとパブリックキーを使用した署名と検証

暗号化では、プライベートキーを使用して文書に署名すると、受信者はパブリックキーを使用して、他の誰でもないお客様が実際に文書を送信したことを検証できます。を使用して AWS CloudHSM 、この目的のために特別に設計された非対称パブリックキーとプライベートキーのペアを作成します。

HMAC と CMAC を使用したメッセージの認証

暗号化では、Cipher Message Authentication Codes (CMACs) と Hash-based Message Authentication Code (HMAC) を使用して、安全でないネットワークを介して送信されるメッセージを認証し、整合性を確保します。を使用すると AWS CloudHSM、HMACs と CMACs。

AWS CloudHSM と の利点を活用する AWS Key Management Service

お客様は AWS CloudHSM と を組み合わせて、FIPS 140-2 Level 3 認定のシングルテナント環境にキーマテリアルAWS KMSを保存できると同時に、 のキー管理、スケーリング、クラウド統合のメリットも享受できます AWS KMS。その方法について詳しくは、「AWS Key Management Service 開発者ガイド」の「AWS CloudHSM キーストア」を参照してください。

ウェブサーバーの SSL/TLS 処理のオフロード

インターネット経由でデータを安全に送信するために、ウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、HTTPS セッションを確立します。このプロセスにはウェブサーバーに対する多くの計算が含まれますが、この一部を AWS CloudHSM クラスターにオフロードすることで、セキュリティを強化しながら、計算の負担を軽減できます。で SSL/TLS オフロードを設定する方法については AWS CloudHSM、「」を参照してくださいSSL/TLS のオフロード。

透過的なデータ暗号化 (TDE) の有効化

透過的なデータ暗号化 (TDE) を使用して、データベースファイルを暗号化します。TDE を使用すると、データベースソフトウェアはデータをディスクに保存する前に暗号化します。TDE マスター暗号化キーを AWS CloudHSMの HSM に保存すると、セキュリティを強化するのに役立ちます。で Oracle TDE を設定する方法については AWS CloudHSM、「」を参照してくださいOracle Database 暗号化。

発行認証機関 (CA) のプライベートキーの管理

認証機関 (CA) は、パブリックキーを ID (個人または組織) にバインドするデジタル証明書を発行する信頼されたエンティティです。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。このようなプライベートキーを AWS CloudHSM クラスターに保存し、HSMsを使用して暗号化署名オペレーションを実行できます。

乱数の生成

暗号化キーを作成するための乱数の生成は、オンラインセキュリティの中核です。 AWS CloudHSM は、ユーザーが制御する HSMs で乱数を安全に生成するために使用でき、ユーザーのみに表示されます。