AWS CloudHSM ユースケース

AWS CloudHSM はさまざまな目標を達成するために使用できます。このトピックでは、AWS CloudHSM でできることの概要を説明します。

規制の確実な順守

企業のセキュリティスタンダードに準拠する必要があるビジネスでは、AWS CloudHSM を使用して機密性の高いデータを保護するプライベートキーを管理することができます。AWS CloudHSM が提供する HSM は FIPS 140-2 レベル 3 認定を受けており、PCI DSS に準拠しています。さらに、AWS CloudHSM は PCI PIN および PCI-3DS にも準拠しています。詳細については、「コンプライアンス」を参照してください。

データの暗号化と復号

AWS CloudHSM を使用して機密性の高いデータ、転送中の暗号化、保存時の暗号化を保護するプライベートキーを管理します。さらに、AWS CloudHSM は複数の暗号 SDK でスタンダードに準拠した統合が可能です。

文書へのプライベートキーとパブリックキーを使用した署名と検証

暗号化では、プライベートキーを使用して文書に署名すると、受信者はパブリックキーを使用して、他の誰でもないお客様が実際に文書を送信したことを検証できます。AWS CloudHSM は、この目的のために特別に設計された非対称のパブリックキーとプライベートキーのペアを作成する場合に使用します。

HMAC と CMAC を使用したメッセージの認証

暗号化では、Cipher Message Authentication Codes (CMACs) と Hash-based Message Authentication Code (HMAC) を使用して、安全でないネットワークを介して送信されるメッセージを認証し、整合性を確保します。AWS CloudHSM を使用すると、HMAC と CMAC をサポートする対称キーを安全に作成して管理できます。

AWS CloudHSM と AWS Key Management Service の利点の活用

AWS CloudHSM と AWS KMS を使用して FIPS 140-2 Level 3 認定のシングルテナント環境で主要な資料を組み合わせて保存できると同時に、キー管理、スケーリング、AWS KMS のクラウド統合のメリットも享受できます。その方法について詳しくは、「AWS Key Management Service 開発者ガイド」の「AWS CloudHSM キーストア」を参照してください。

ウェブサーバーの SSL/TLS 処理のオフロード

インターネット経由でデータを安全に送信するために、ウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、HTTPS セッションを確立します。このプロセスは、ウェブサーバーにとって多くの計算を伴いますが、AWS CloudHSM クラスターに対するこの計算の一部をオフロードすることで、計算上の負担を軽減し、セキュリティを強化することができます。AWS CloudHSM で SSL/TLS オフロードを設定する方法については、「SSL/TLS のオフロード」を参照してください。

透過的なデータ暗号化 (TDE) の有効化

透過的なデータ暗号化 (TDE) を使用して、データベースファイルを暗号化します。TDE を使用すると、データベースソフトウェアはデータをディスクに保存する前に暗号化します。TDE マスター暗号化キーを AWS CloudHSM の HSM に保存すると、セキュリティを強化するのに役立ちます。AWS CloudHSM で Oracle TDE を設定する方法については、「Oracle Database 暗号化」を参照してください。

発行認証機関 (CA) のプライベートキーの管理

認証機関 (CA) は、パブリックキーを ID (個人または組織) にバインドするデジタル証明書を発行する信頼されたエンティティです。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。それらのプライベートキーを AWS CloudHSM クラスター内の HSM に保存し、HSM を使用して暗号化署名オペレーションを実行できます。

乱数の生成

乱数を生成して暗号化キーを作成することは、オンラインセキュリティの中核です。AWS CloudHSM はユーザーが管理する HSM で安全に乱数を生成するために使用でき、自分だけが見ることができます。