nShield Connect
nShield Connectハードウェア・セキュリティ・モジュール(HSM)とは、サーバーや仮想マシン上に分散されているアプリケーションに対して暗号鍵サービスを提供する認定取得済みのネットワークアプライアンスです。
nShield Connect HSM
nShield Connectハードウェア・セキュリティ・モジュール(HSM)とは、ネットワーク上にある各種のアプリケーションに対して暗号鍵サービスを提供する認定取得済みのハードウェアセキュリティアプライアンスです。nShield HSMアプライアンスは、セキュリティが強化された耐タンパ性プラットフォームであり、暗号化、デジタル署名、鍵の生成と保護などの機能を実行します。またnShield HSM は、これらの総合的な機能に加えて、認証局やコードサイニングなどのさまざまユースケースをサポートします。
リモート設定により、コストのかかるデータセンターへの出張削減が可能
最新のnShield Connect XCモデルにはオプションのシリアルポートが搭載されており、データセンターへの出張費用を削減できます。シリアルポート経由で利用できるリモート設定機能は以下のとおりです。
- HSMのネットワーク設定(IP アドレスなど)の初期化や変更
- nShield HSMアプライアンスの制御をテナントに引き渡す前に、プロバイダーが同アプライアンスを簡単に設定できるようにするプロバイダー/テナント導入モデルのサポート。役割を分離することで、暗号鍵要素がプロバイダーに漏れることがありません。
- 次回の導入に備えて、利用サイクルの終了時点で鍵要素を除去し、nShield HSMアプライアンスを失効します。
技術者は、nShield HSMアプライアンスをラックに収納して配線し、データセンター内のシリアル コネクタをnShield Connect XCに接続するだけで、完全なリモート設定と管理が行えるようになります。 これにより、データセンターにおける熟練した技術者の必要性を軽減できるほか、HSMに関するより高い効率性と制御をユーザに提供できるようになります。
nShield Connectのメリット
強力なアーキテクチャ
スケーラビリティ、ロードバランシング、シームレスなフェイルオーバー、ディザスタリカバリを提供する Entrust の統一的なエコシステムである Security World を使用して、HSM エステートを構築し拡張します。
より多くのデータをより高速で処理
業界最高の暗号トランザクション速度を利用可能。スループットが重要となる環境に最適。
慎重に扱うべきビジネスおよびアプリケーションロジックの保護
nShield 境界内でコードを実行し、アプリケーションと処理データを保護。
技術仕様
認定取得済みのハードウェアソリューション
Entrustは、nShield製品に関してさまざまな認定を取得しています。 これらの認定は、ユーザがコンプライアンスを実証する際に役立つほか、nShield HSMが厳格な業界標準を満たしていることを保証します。
セキュリティ関連のコンプライアンス
- FIPS 140-2 レベル 2 およびレベル 3
- USGv6 認定
- Dutch NSCIB スキームに基づく、EN 419 221-5 Protection Profile に対する eIDAS およびコモンクライテリア EAL4 + AVA_VAN.5 および ALC_FLR.2 認証
- eIDASのEN 419 241-2認定リモート署名システムの基盤として導入可能。
- 真の決定論的乱数生成のためのBSI AIS 31 に準拠
- NSC3 レベルへの ICP Brasil 認定取得
- nShield Connect XCモデル用シンガポールCSA NITES証明書
安全基準および環境基準への準拠
- UL、CE、FCC、RCM、Canada ICES
- RoHS2、WEEE
高速トランザクション
nShield HSMは、楕円曲線暗号システム(ECC)およびRSAに関して高速トランザクションが特長です。最も効率的な暗号アルゴリズムの1つであるECCは、低電力消費が不可欠な環境に最適です。
XC Mid | XC High |
NIST 推奨鍵長での RSA 署名性能(tps) | |
3500 | 8600 |
850 | 2025 |
NIST 推奨鍵長での ECC Prime Curve 署名性能(tps) | |
75121 | 144001 |
注 1: 示されているパフォーマンスを得るには、Entrustサポートにリクエストすることにより無料で利用できるECDSA高速RNG機能のアクティベーションが必要です。
API、暗号アルゴリズム、OSの幅広いサポート
サポート対象のAPI
- PKCS#11、OpenSSL、Java(JCE)、Microsoft CAPI/CNG、および Web サービス(要 Web Services Option Pack)
サポート対象の暗号アルゴリズム
- 非対称公開鍵アルゴリズム: RSA、Diffie-Hellman、ECMQV、DSA、KCDSA、ECDSA、ECDH、Edwards(X25519、Ed25519ph)
- 対称アルゴリズム:AES、AES-GCM、ARIA、Camellia、CAST、RIPEMD160 HMAC、SEED、Triple DES
- ハッシュ/メッセージダイジェスト:SHA-1、SHA-2(224、256、384、512 ビット)、HAS-160
- Brainpool曲線やカスタム曲線を含めたフルライセンスのECCによるSuite Bの完全実装
- 楕円曲線鍵協定(ECKA)は、Java APIおよびnCoreAPIから確認可能
- 楕円曲線統合暗号スキーム(ECIES)は、Java API、PKCS#11、およびnCore APIから確認可能
nShield HSMは、標準機能セットの一部として、これらの暗号アルゴリズムの大部分をサポートします。 ECCまたは韓国独自のアルゴリズムを使用希望の場合は、オプションのアクティベーションライセンスが必要です。
サポート対象のプラットフォーム
仮想マシンまたはコンテナで実行されている RedHat、SUSE、および主要なクラウド サービス プロバイダーからのディストリビューションを含む WindowsおよびLinux オペレーティングシステム。
信頼性
Telcordia SR-332「電子機器の信頼度予測手順」のMTBF基準で、摂氏25度の動作温度で計算
- Connect XC 107,384 時間
オプションとアクセサリ
性能別のモデルとオプション
お使いのアプリケーションで必要となるニーズを満たすように、Entrustは、技術仕様に示すような各種のnShield Connectモデルを提供しています。これらのモデルの中からお好みのモデルを選択できるほか、アップグレードサービスを購入することで、XCモデルを高性能のモデルへとアップグレードすることができます。
クライアントライセンス
nShield Connect HSMは、3つのクライアントライセンスと共に出荷されます。各ライセンスには、それぞれ1つのIPアドレスへの接続が許可されます。 追加ライセンスは有料で提供しています。 サポートされるクライアントライセンス数は、下記のリストにあるように、nShield Connectモデルにより異なります。
各nShield Connectモデルの最大クライアントライセンス数:
- XC Base/500+ 10 ライセンス
- XC Mid/1500+ 20 ライセンス
- XC High/6000+ 無制限*
注* エンタープライズ クライアント ライセンスのアクティベーションが必要です
Software Option Pack
Entrustは、nShield HSMと組み合わせて使用できるさまざまなSoftware Options Packを提供しています。
nShield Monitor
nShield Monitorは、nShield HSMに関する24時間365日の可視性を提供するモニタリングプラットフォームです。 このソリューションを使用することで、セキュリティチームはHSMを効率的に検査し、セキュリティ、構成、または利用に関する潜在的な問題がミッションクリティカルなインフラストラクチャを侵害する可能性があるかどうかをすぐに見極めることができます。
Remote Administration Kit
nShield Remote Administrationを使用することで、オペレーターは、各自のオフィスから分散しているnShield HSMを管理でき、出張回数を減らし、コストを削減できるようになります。実施できる管理作業には、アプリケーションの追加、ファームウェアのアップグレード、状態のチェック、再起動などが含まれます。 Remote Administration Kitには、同ツールのセットアップと利用に必要となるハードウェアとソフトウェア一式が含まれています。 同キットは、nShield SoloおよびnShield Connect HSMで使用できます。
クラウドディザスタリカバリ
オンプレミス環境の冗長性と信頼性を向上させます。
- サブスクリプションベースのサービス
- オフサイトのHSMリソースを追加します
- 便利かつ優れた費用対効果を実現
CodeSafe
CodeSafeは、nShield HSMの安全な境界内でアプリケーションを実行できるようにする強力で安全な環境です。保護できるアプリケーションの例としては、銀行業務やスマートメーター、認証エージェント、デジタル署名エージェント、カスタム暗号化処理などに関連する暗号化やビジネスロジックなどがあります。 CodeSafeは、FIPS 140-2 Level 3認定取得済みのnShield Soloおよび nShield Connect HSMで利用できます。
CipherTools
CipherToolsは、チュートリアル、参考文書、サンプルプログラム、追加ライブラリからなるセットです。 本ツールキットを使うことで、開発者は、nShield HSMの持つ高度な統合機能をフル活用できるようになります。 また、本ツールキットは標準APIのサポートを提供するほか、本ツールキットを使うことで、カスタムアプリケーションをnShield HSMと連携して動作させることが可能となります。CipherTools Developer Toolkitは、標準のSecurity World Software ISO/DVDに含まれています。
nToken
nShield Connect HSMクライアントの認証を強化したいと考えているセキュリティチームは、nTokens PCIeカードを使用することで、ハードウェアに基づくホストのID確認および検証を実現できます。
楕円曲線暗号システム(ECC)のアクティベーション
ECCアクティベーションライセンスを購入すると、nShield HSM上で、EC-DH、EC-DSA、EC-MQVが利用できるようになります。
KCDSA のアクティベーション
KCDSAアクティベーションのライセンスを購入すると、Korean Certificate-based Digital Signature Algorithm(KCSDA)をはじめ、nShield HSMでHAS-160、SEED、ARIAの各アルゴリズムを利用できるようになります。
スライドレール
Entrust は、nShield Connectを19インチのシェルフ無しのラックに搭載できるようにする、オプションのスライドレールを提供しています。他のメーカーが提供する部品は互換性がない可能性があるため、Entrustでは、このスライドレールを利用することを推奨しています。
キーボード
nShield Connect HSMが持つ機能の多くは、同アプライアンスの前面にあるタッチホイールを使うことで簡単に実行できます。Entrustでは使いやすさをさらに高めるために、USBキーボードをオプションで提供しています。
現場で交換可能な部品
nShield は、オペレーターがパーツをダウンタイムなしに現場で交換できる大きな特長があります。 これらのパーツには、二重のホットスワップ対応の電源と現場での交換が可能なファントレイが含まれます(nShield Connect をスタンバイ状態にする必要があります)。