top of page

新しいセキュリティ時代の超小型HSM

YubiHSM2 image
YubiHSM2 sample
iShield HSM sample

世の中の急速なデジタル化やテレワークの広まりなどでセキュリティ脅威がより広い範囲に及ぶ中、セキュリティ対策の要として今、HSMに注目が集まっています。

弊社ではYubico社製の「YubiHSM 2」とSwissbit社製の「iShield HSM」の2種類の超小型HSM製品を取り扱っております。

これらの超小型HSMがどのような製品か、どのような特徴があるかについてご紹介いたします。

HSM(ハードウェアセキュリティモジュール)とは

個人情報や社外秘データなど機密性の高い情報を不正アクセスから保護するためには「暗号化」が必須となります。

 

HSM(ハードウェアセキュリティモジュール)は、そのようなデータの暗号化と復号、およびデジタル署名や証明書などに使用される秘密鍵を安全に保管できるハードウェアです。

 

簡単に言えば、「秘密鍵を安全に守る金庫の役割をするハードウェア」といったところでしょうか。

HSMは秘密鍵を守る金庫のようなハードウェア

HSMは秘密鍵を守る金庫のようなハードウェア

セキュリティで利用する秘密鍵を盗まれるとすべてのセキュリティ対策が崩壊し、成立しなくなってしまいます。秘密鍵の保護はセキュリティ上、非常に重要と言えます。

なぜHSMが必要なのか?

暗号化やデジタル署名といったセキュリティに関する操作は秘密鍵を使用して行われるため、秘密鍵が十分に保護されている必要があります。

攻撃者は保存された、または使用されている秘密鍵を見つけようとします。

もし秘密鍵をサーバーのストレージ上に保存しているとしたら、簡単に盗み出されてしまいます。たとえその秘密鍵を暗号化して保護していたとしても、秘密鍵を使用する際にメモリ上に展開された情報を読み取る攻撃を防ぐことはできません。

メモリーダンプから鍵データを発見する例

​コンピューターのメモリー中のデータをダンプし、0は黒、1は白のパターンとして表示したもの。

​鍵データは乱数性が高いため、簡単に見分けがつく。

​鍵データはメモリーダンプから簡単に盗み出せる

HSMは鍵の保管だけではなく、暗号・電子署名などの演算機能までモジュール内に内蔵しているため、鍵をハードウェアから一切取り出すことなく暗号、電子署名などの処理を行うことができます。

これはつまり、メモリ上にすら鍵のデータを展開しないことを意味しており、メモリダンプから鍵データを盗み出す攻撃も防ぐことができます。

HSMの安全性の例

暗号・電子署名などの演算機能までHSMに内蔵しているため、鍵を一切外部に取り出すことなく処理ができる。

それではHSMを破壊して直接HSM内部の鍵データにアクセスする攻撃はどうかというと、物理的なアクセスに対してはデータを消去したり改ざんの痕跡を残すなど、物理的な攻撃を防ぐ仕組みを備えています。(耐タンパ性)

このように、鍵を保管する専用のハードウェアを利用することで、サーバーと物理的に分離することができ、さまざまな攻撃に対応することができます。

HSMの機能

HSMには大きく分けて以下の4つの機能があります。

  1. 鍵を安全に保管する

  2. 鍵を用いて暗号演算や電子署名演算を行う

  3. 鍵を生成する

  4. 乱数を生成する

1.HSMを破壊して中身を取り出す物理攻撃にも耐性があります。外部からデータを取り出そうとするとデータを消去したり改ざんの痕跡を残すなどの仕組みがあります。耐タンパ性と呼ばれます。

2.HSMの内部で暗号処理や電子署名処理を行うことができる。暗号プロセッサが高性能なため、暗号や電子署名を高速化することが可能です。

3.HSM内部で生成された鍵が、一度もHSMの外部に取り出されることがない、安全な運用が可能です。

4.HSMには物理的に乱数を発生させる仕組みがあり、高品質な乱数を作成することが可能です。

暗号の世界では乱数は非常に重要な機能です。乱数の質が悪い、すなわち乱数の分布に偏りがあったりわずかでも法則性があったりすると、攻撃者にヒントを与えてしまうことになります。ソフトウェアで乱数を生成する場合、高品質な乱数を作ることが困難です。

弊社で取り扱っているHSMの特徴

元々HSMは金融機関などの膨大な処理を行うシステムで用いられており、一般的なHSMはサーバータイプのものが知られています。これらは高性能である代わりに非常に価格が高く、かつサイズが大きいため、設置も困難です。そのため、中小企業での導入は難しいという問題が生じています。

 

近年において世の中のサイバー犯罪は高度化し続けており、今までのように機密性の高いごく一部のシステムだけではなく、小さな規模のシステムでもセキュリティの必要性は高まっています。

 

弊社で取り扱っているHSMは、USBに接続できるコンパクトなサイズで、価格も安価なため、これまで導入が難しかった小規模なシステムやIoTにも組み込みやすく、手軽にセキュリティの安全性を高めることができます。

Yubico | YubiHSM 2 sample

Yubico社のYubiHSM2

Swissbit | iShield HSM

​Swissbit社のiShield HSM

導入や管理も簡単

これらの製品は業界標準のPKCS#11に対応しており、お客様が業務で利用する製品やアプリケーションに速やかに実装できます。

またYubiHSM2についてはオープンソースのYubiHSM 2 SDKをリリースしておりますので、導入をより簡単にすることができます。

性能比較

HSMについてのお問い合わせ

弊社はYubico社およびSwissbit社の正規代理店です。

HSMにご興味を持たれましたら、お問い合わせページからご連絡ください。

※なお、HSMはご発注から納品までにお時間をいただく場合がございます。

具体的な納品時期につきましてはお問い合わせ時にご確認ください。

bottom of page