AWS CloudHSMを利用するメリット6つ！使い方の手順も解説

AWS CloudHSMとはどのようなセキュリティモジュールのこと？

AWS CloudHSMとは、クラウド形式のセキュリティモジュールでAWSクラウドにより暗号化キーを管理、使用できます。

CloudHSMは、FIPS140-2のレベル3規格に準拠していますので、ユーザー設定により商用で利用のHSMにキーのエクスポートが可能です。また、CloudHSM は、オンデマンドでHSMのスケールできます。

AWS CloudHSMが持つ特徴3つ

AWS CloudHSMの特徴は、KMSによる暗号化キーや、アプリケーションの容易な追加、不正使用防止策が施されたハードウェアを提供するなどです。

AWS CloudHSMで実行される特徴は、AWS Key Managementサービスによる管理や業界標準のAPI、コンプライアンス要件に準拠しているなど3つがあります。ここでは、それぞれの特徴を詳しく紹介しましょう。

1：暗号化キーの管理と自動化

暗号化キーの管理と自動化は、KMSサービスによりキーの管理を自動で実施する機能です。

KMSとは、AWS Key Management Serviceの略です。KMSとAWSの統合によって、暗号化キーを自動で管理できます。これにより、ユーザによる暗号化キーの管理が不要となります。

2：アプリケーションの柔軟な統合

アプリケーションの柔軟な統合とは、AWS CloudHSMの業界標準APIを使用してアプリケーションの統合が可能です。

JCEやCNGライブラリのような業界標準APIにより、カスタムアプリケーションを統合が可能です。また、キーを市販のHSMに転送しAWS内外にキーを簡単に移行できます。

3：コンプライアンスに対応している

コンプライアンスに対応とは、HMSの使用によってセキュリティやプライバシーなどの不正使用防止規制コンプライアンスの証明となります。

また、HAWS CloudHSMによりクラウド内のHSMを利用しながら、高い信頼性と短時間で、安全に適合性のあるワークロードの構築が可能です。

AWS CloudHSMを利用するメリット6つ

AWS ClohdHSMを利用するメリットは、サーバーなどの高いセキュリティ対策や管理者の負担軽減、拡張性に優れ管理が容易にできるなど6つがあります。

主な特徴は、セキュリティ対策をユーザーが実施しなくても、安心で安全なシステム利用が可能であることやさまざまなメンテナンスが不要となり管理者の負担軽減されること、拡張性に優れリソースの最適化が可能などがあります。

ここでは、それぞれの特徴を詳しく紹介しましょう。

1：高いセキュリティ

高いセキュリティとは、ハードウェアをコンプライアンス要件に準拠したデータセンターで運用しているためにセキュリティ面では安全です。

データセンターは、外部とのインターネットセキュリティも万全な環境と提供していますので、安心安全なセキュリティを容易に実現できます。

2：管理が容易になる

管理が容易であるとは、ハードウェアやソフトウェアのメンテナンスなどが容易にできるため、管理者に負担をかけないことです。システムを運用する場合に多大の負担になるのが、システム管理者です。ハードウェアやOS、アプリケーションなどメンテナンスが絶えず発生します。

AWSでは、この負担をすべてデータセンタで実施しますので、ほとんど負担がかかりません。

3：HSMを簡単に使用できる

HSMを簡単に使用できるとは、サービスを利用するのでハードウェアやソフトウェアの購入が不用となり簡単に運用がはじめられることです。

購入に伴う費用や運用に関わるコストが発生しません。ハードウェアやソフトウェア選定の手間がいらず、容易に運用開始が可能で稼動削減にも繋がります。

また必要な期間だけ使用して、不要となれば契約を解除すれば処分などの費用は一切発生しません。このように、長期的なシステム維持費などが発生しないためコスト削減を実現します。

4：負荷を分散できる

負荷を分散できるとは、リクエストを自動で分散させてHSMのキーをクラスター内に複製し、キーの耐久性を向上させます。

キーの複製は異なったゾーンのHSMに実施されるので、一個のHSMが故障しても他のHSMキーにより安全は保証されます。負荷分散の機能がこのような部分に生かされています。

5：可用性が高い

可用性が高いとは、システムの拡張や縮小が簡単な設定変更で可能となっていることです。

稼働中のサーバーでも、CPUやメモリなどの変更が可能です。突然トラヒックが増えるイベントなどについても、サーバーリソースの拡張が瞬時にできます。

また、日中に稼動のサーバースペックと夜間のスペックを変更することも可能です。繁盛期などの対策で、あらかじめサーバーリソースを増やしておくことも不用となり、リソースの最適化を図ることが可能です。

6：KMSのカスタムキーストアとして利用できる

KMSのカスタムキーストアとして利用できるとは、KMSとAWSのサービス統合によりHMSの制御下でデータ暗号化が可能です。

デフォルトであるKMSキーストアに変えて、AWSクラスターをカスタムキーストアで使用が可能です。KMSカスタムキーストアの使用により、KMSマスターキーの保護をAWSの制御下でデータ暗号化が実施できます。AWSの統合機能により実現される特徴です。

AWS KMSの4つの特徴から見るCloudHSMとの違い

AWS KMSの特徴から見るCloudHSMとの違いとは、CloudHSMは専用のハードウェアで暗号化キーを保管しますが、KMSはハードウェアは共有で暗号化する方式の違いです。

他の違いは、ハードウェアが用意されているので購入コストが削減できるやAWSとの連携機能があることなどです。

ここでは、それぞれの機能の違いについて詳しく紹介しましょう。

1：コストがあまりかからない

コストがあまりかからないとは、ユーザー側でハードウェアやソフトウェアを購入する必要がなく、導入コストを抑えられることです。

AWS KMSとCloudHSMでは、基本的に同じ構成なので導入コストは抑えられます。導入時の費用は無料で、月毎の従量課金のランニングコストのみとなります。

2：物理的には同じサーバー上に存在するものである

物理的には同じサーバー上に存在するものであるとは、AWS KMSもCloudHSMもどちらもサーバー上にあります。

両方サーバー上にあるサービスですが違いがあります。AWS KMSは、クラウド上で共有されています。このクラウドは、他のユーザーも利用しているハードウェアです。

また、CLoudHSMは、契約ユーザー専用のハードウェアで他のユーザーは利用できません。CLoudHSMの方が、機密性が保たれているハードウェアと言われています。

3：AWS管理サーバーを共有で利用して暗号化キーを管理する

AWS管理サーバーを共有で利用して暗号化キーを管理するとは、クラウドサービス上の共有サーバーで暗号化キーを管理する方法です。

共有サーバーは、システム的に他の組織へのアクセス制限はされますが、他の組織の暗号化きーも同じサーバー上に存在します。CloudHSMより安価に利用できます。

対してCloudHSMは、専用のハードウェアサーバーで暗号化キーを保管します。専用ハードのため、心配することなくキーを管理することができます。KMSに比べると高価な利用料です。

4：他のAWS機能と連携しやすい

他のAWS機能と連携しやすいとは、AWSのさまざまなサービスと統合可能でCMKキーにより署名や検証が簡単に実施できます。

AWSアカウントで作成するCMKリソースにより、キーのアクセス許可とライフサイクルを最上レベルで制御できます。

CloudHSMでは、Java Cryptography Extensions、Microsoft CryptoNGライブラリに業界標準のAPIを使い、アプリケーションを合わせることができます。

AWS CloudHSMの3つの使い方手順

AWS CloudHSMの3つの使い方手順とは、ウェブアプリのAWSコントロール画面によりHSMを構築する手順を実施します。

ウェブアプリケーションの管理コンソール画面では、「構築のためのクラスターを作成」や「クラスター内にHSMを構築」などの手順を実施します。

ここでは、それぞれの使い方を詳しく紹介しましょう。

1：AWS管理コンソールからCloudHSM画面を開く

AWS管理コンソールからCloudHSMを開くとは、管理するためのウェブアプリケーションで、サインインするとコンソール画面が表示されます。

この画面では、さまざまなサービスコンソールへのリンクや役立つユーザーインターフェースなども提供されています。

2：クラスターを作成する

クラスターを作成するとは、HSMの集合のクラスターを作成します。

VPCコンソールで、VPC内に作成したプライベートサブネットにクラスターを作成します。クラスター作成後、ユーザーに代わってAWS CloudHSMが、クラスターのセキュリティグループを作成します。

3：クラスター内にHSMを構築していく

クラスター内にHSMを構築していくとは、クラスターが初期化状態ではないことを確認後、HSMを作成します。

確認方法はコンソールのクラスターページを表示し、CLIを使って「describe-clusters」コマンドを実行します。次に、APIでDescribeClustersリクエストを送信します。

その後、CloudHSMクライアントのインストールと設定を実施して、クラスターのアクティブ化を実施して終了です。

AWS CloudHSMを利用してみよう

AWS CloudHSMは、クラウド上にハードウェアを置くセキュリティモジュールのことです。

CloudHSMにより、クラウドサーバー上で暗号化キーを容易に作成、利用することが可能となります。さまざまな特徴がありますので、詳しく紹介しましょう。

簡単な管理機能で、ハードウェアの構成変更やソフトウェアへの修正適用、バックアップなど時間を要する作業を自動化することが可能です。暗号化キーの制御の厳格化で、キーの作成やアクセス可能なのは限定されたHSMユーザーのみとなります。

安全なVPCアクセスとは、負荷分散と高可用性機能は、クラウド内のすべてのHSM複製を実施しています。これにより、暗号化の機能性が高くキーの耐久性が向上します。仮に、一つのHSMが故障しても他のHSMによりキーの安全に保証されます。

この記事では、AWS CloudHSMの機能や使用方法などを紹介しました。皆さんの更なる知識の向上に繋がれば幸いです。