nSHIELD CONNECT
nShield Connect HSM
nShield Connectハードウェア・セキュリティ・モジュール(HSM)とは、ネットワーク上にある各種のアプリケーションに対して暗号鍵サービスを提供する認定取得済みのハードウェアセキュリティアプライアンスです。nShield HSMアプライアンスは、セキュリティが強化された耐タンパ性プラットフォームであり、暗号化、デジタル署名、鍵の生成と保護などの機能を実行します。またnShield HSM は、これらの総合的な機能に加えて、認証局やコードサイニングなどのさまざまユースケースをサポートします。
リモート設定により、コストのかかるデータセンターへの出張削減が可能
最新のnShield Connect XCモデルにはオプションのシリアルポートが搭載されており、データセンターへの出張費用を削減できます。シリアルポート経由で利用できるリモート設定機能は以下のとおりです。
- HSMのネットワーク設定(IP アドレスなど)の初期化や変更
- nShield HSMアプライアンスの制御をテナントに引き渡す前に、プロバイダーが同アプライアンスを簡単に設定できるようにするプロバイダー/テナント導入モデルのサポート。役割を分離することで、暗号鍵要素がプロバイダーに漏れることがありません。
- 次回の導入に備えて、利用サイクルの終了時点で鍵要素を除去し、nShield HSMアプライアンスを失効します。
技術者は、nShield HSMアプライアンスをラックに収納して配線し、データセンター内のシリアル コネクタをnShield Connect XCに接続するだけで、完全なリモート設定と管理が行えるようになります。 これにより、データセンターにおける熟練した技術者の必要性を軽減できるほか、HSMに関するより高い効率性と制御をユーザに提供できるようになります。
nShield Connectのメリット
強力なアーキテクチャ
スケーラビリティ、シームレスなフェイルオーバー、および負荷分散を提供するEntrustの統一的なエコシステムであるSecurity Worldを使用することで、HSMを構築および拡張可能。
より多くのデータをより高速で処理
業界最高の暗号トランザクション速度を利用可能。スループットが重要となる環境に最適。
慎重に扱うべきビジネスおよびアプリケーションロジックの保護
nShield境界内でコードを実行し、アプリケーションと処理データを保護。
詳細
技術仕様
認定取得済みのハードウェアソリューション
Entrustは、nShield製品に関してさまざまな認定を取得しています。 これらの認定は、ユーザがコンプライアンスを実証する際に役立つほか、nShield HSMが厳格な業界標準を満たしていることを保証します。
セキュリティ関連のコンプライアンス
- FIPS 140-2 レベル 2 およびレベル 3
- USGv6 認定
- Dutch NSCIB スキームに基づく、EN 419 221-5 Protection Profile に対する eIDAS およびコモンクライテリア EAL4 + AVA_VAN.5 および ALC_FLR.2 認証
- eIDASのEN 419 241-2認定リモート署名システムの基盤として導入可能。
- 真の決定論的乱数生成のためのBSI AIS 31 に準拠
- nShield Connect+ はコモンクライテリアEAL4+(AVA_VAN.5)準拠
- nShield Connect+ は、適格電子署名生成装置(QSCD)として認定取得
- NSC3 レベルへの ICP Brasil 認定取得
安全基準および環境基準への準拠
- UL、CE、FCC、RCM、Canada ICES
- RoHS2、WEEE
高速トランザクション
nShield HSMは、楕円曲線暗号システム(ECC)およびRSAに関して高速トランザクションが特長です。最も効率的な暗号アルゴリズムの1つであるECCは、低電力消費が不可欠な環境に最適です。
| nShield Connect モデル | 500 以上 | XC Base | 1500 以上 | 6000 以上 | XC Mid | XC High |
|---|---|---|---|---|---|---|
| NIST 推奨鍵長での RSA 署名性能(tps) | ||||||
| 2048 ビット | 150 | 430 | 450 | 3000 | 3500 | 8600 |
| 4096 ビット | 80 | 100 | 190 | 500 | 850 | 2025 |
| NIST 推奨鍵長での ECC Prime Curve 署名性能(tps) | ||||||
| 256 ビット | 540 | 680 | 1260 | 2400 | 75121 | 144001 |
注 1:示されているパフォーマンスを得るには、Entrustサポートにリクエストすることにより無料で利用できるECDSA高速RNG機能のアクティベーションが必要です。
API、暗号アルゴリズム、OSの幅広いサポート
サポート対象のAPI
- PKCS#11、OpenSSL、Java(JCE)、Microsoft CAPI/CNG、および Web サービス(要 Web Services Option Pack)
サポート対象の暗号アルゴリズム
- 非対称公開鍵アルゴリズム: RSA、Diffie-Hellman、ECMQV、DSA、KCDSA、ECDSA、ECDH、Edwards(X25519、Ed25519ph)
- 対称アルゴリズム:AES、AES-GCM、ARIA、Camellia、CAST、RIPEMD160 HMAC、SEED、Triple DES
- ハッシュ/メッセージダイジェスト:SHA-1、SHA-2(224、256、384、512 ビット)、HAS-160
- Brainpool曲線やカスタム曲線を含めたフルライセンスのECCによるSuite Bの完全実装
- 楕円曲線鍵協定(ECKA)は、Java APIおよびnCoreAPIから確認可能
- 楕円曲線統合暗号スキーム(ECIES)は、Java API、PKCS#11、およびnCore APIから確認可能
nShield HSMは、標準機能セットの一部として、これらの暗号アルゴリズムの大部分をサポートします。 ECCまたは韓国独自のアルゴリズムを使用希望の場合は、オプションのアクティベーションライセンスが必要です。
サポート対象のプラットフォーム
仮想マシンまたはコンテナで実行されている RedHat、SUSE、および主要なクラウド サービス プロバイダーからのディストリビューションを含む WindowsおよびLinux オペレーティングシステム。
信頼性
Telcordia SR-332「電子機器の信頼度予測手順」のMTBF基準で、摂氏25度の動作温度で計算
- Connect XC 107,384 時間
- Connect+ 99,284 時間
オプションとアクセサリ
性能別のモデルとオプション
お使いのアプリケーションで必要となるニーズを満たすように、Entrustは、技術仕様に示すような各種のnShield Connectモデルを提供しています。これらのモデルの中からお好みのモデルを選択できるほか、アップグレードサービスを購入することで、XCモデルを高性能のモデルへとアップグレードすることができます。
クライアントライセンス
nShield Connect HSMは、3つのクライアントライセンスと共に出荷されます。各ライセンスには、それぞれ1つのIPアドレスへの接続が許可されます。 追加ライセンスは有料で提供しています。 サポートされるクライアントライセンス数は、下記のリストにあるように、nShield Connectモデルにより異なります。
各nShield Connectモデルの最大クライアントライセンス数:
XC Base/500+ 10 ライセンス
XC Mid/1500+ 20 ライセンス
XC High/6000+ 無制限*
注) Enterprise Client Licenseのアクティベーションが必要です
Software Option Pack
Entrustは、nShield HSMと組み合わせて使用できるさまざまなSoftware Options Packを提供しています。
nShield Monitor
nShield Monitorは、nShield HSMに関する24時間365日の可視性を提供するモニタリングプラットフォームです。 このソリューションを使用することで、セキュリティチームはHSMを効率的に検査し、セキュリティ、構成、または利用に関する潜在的な問題がミッションクリティカルなインフラストラクチャを侵害する可能性があるかどうかをすぐに見極めることができます。
Remote Administration Kit
nShield Remote Administrationを使用することで、オペレーターは、各自のオフィスから分散しているnShield HSMを管理でき、出張回数を減らし、コストを削減できるようになります。実施できる管理作業には、アプリケーションの追加、ファームウェアのアップグレード、状態のチェック、再起動などが含まれます。 Remote Administration Kitには、同ツールのセットアップと利用に必要となるハードウェアとソフトウェア一式が含まれています。 同キットは、nShield SoloおよびnShield Connect HSMで使用できます。
CodeSafe
CodeSafeは、nShield HSMの安全な境界内でアプリケーションを実行できるようにする強力で安全な環境です。保護できるアプリケーションの例としては、銀行業務やスマートメーター、認証エージェント、デジタル署名エージェント、カスタム暗号化処理などに関連する暗号化やビジネスロジックなどがあります。 CodeSafeは、FIPS 140-2 Level 3認定取得済みのnShield SoloおよびnShield Connect HSMで使用できます。
CipherTools
CipherToolsは、チュートリアル、参考文書、サンプルプログラム、追加ライブラリからなるセットです。 本ツールキットを使うことで、開発者は、nShield HSMの持つ高度な統合機能をフル活用できるようになります。 また、本ツールキットは標準APIのサポートを提供するほか、本ツールキットを使うことで、カスタムアプリケーションをnShield HSMと連携して動作させることが可能となります。CipherTools Developer Toolkitは、標準のSecurity World Software ISO/DVDに含まれています。
nToken
nShield Connect HSMクライアントの認証を強化したいと考えているセキュリティチームは、nTokens PCIeカードを使用することで、ハードウェアに基づくホストのID確認および検証を実現できます。
楕円曲線暗号システム(ECC)のアクティベーション
ECCアクティベーションライセンスを購入すると、nShield HSM上で、EC-DH、EC-DSA、EC-MQVが利用できるようになります。
KCDSA のアクティベーション
KCDSAアクティベーションのライセンスを購入すると、Korean Certificate-based Digital Signature Algorithm(KCSDA)をはじめ、nShield HSMでHAS-160、SEED、ARIAの各アルゴリズムを利用できるようになります。
スライドレール
Entrust は、nShield Connectを19インチのシェルフ無しのラックに搭載できるようにする、オプションのスライドレールを提供しています。他のメーカーが提供する部品は互換性がない可能性があるため、Entrustでは、このスライドレールを利用することを推奨しています。
キーボード
nShield Connect HSMが持つ機能の多くは、同アプライアンスの前面にあるタッチホイールを使うことで簡単に実行できます。Entrustでは使いやすさをさらに高めるために、USBキーボードをオプションで提供しています。
現場で交換可能な部品
nShield Connectは、オペレーターが最小限のダウンタイムで現場で交換できるパーツに特長があります。 これらのパーツには、二重のホットスワップ対応の電源と現場での交換が可能なファントレイが含まれます(nShield Connectをスタンバイ状態にする必要があります)。関連製品
お客様の声
Square
当社のEntrust製品の使用歴は長く、ビジネスの基本ツールとしてEntrustのソリューションを使用し続けることは非常に快適であると感じています。Entrust HSMを5年間使用していますが、常にすばらしく信頼性が高いと感じています。HSMに多くのコードを追加しましたが、必要としていたパフォーマンスを発揮し、堅牢性の高い基盤であることが証明されました。
Verifone
世界の決済ソリューションおよびコマースイネーブルメントのリーダーであるVerifoneの戦略は、世界のセキュリティ基準を満たす、または超える「クラス最高」の決済ソリューションとサービスを開発・実装し、弊社のクライアントがビジネスのあらゆるチャネルで電子決済を安全に受け入れられるように支援することです。 当社では、Entrust HSMを選択して、決済セキュリティプラットフォーム全体で堅牢なセキュリティ、最高レベルのパフォーマンス、優れたスケーラビリティを提供しています。
Memjet
Entrust nShieldセールスチームは、この評価期間中、優れた現場サポートとリモートサポートを提供してくれました。このチームはプロセスにとってかけがえのない存在でした。 製品ドキュメントの内容の奥深さと幅広さ、高い品質から、ソリューションが十分に考え抜かれ、サポートされていると確信できました。
Polycom
Entrustは、カスタマイズされた安全なVoIPソリューションの設計と実装に必要な専門知識を提供してくれました。