バーチャルHSMは存在しますか？

手っ取り早い答えとしては： いいえ、バーチャルのハードウェアセキュリティモジュール（HSM）というものは存在しません。 HSMベンダーの中には、それを公言しているところもありますが、「バーチャルHSM」は矛盾しています。 名前に「ハードウェア」という言葉が入っていることが重要です。 ハードウェアは物理的な装置を意味し、「バーチャル」は物理の反対語です。

HSMの主な役割の1つは、安全な暗号鍵を作成するための信頼の基点を確立することです。 そのためには、複雑な数学的処理を行う必要があります。 この数学的プロセスの核となるのが、乱数の生成です。

すべての乱数が本当にランダムなわけではありません。 この話題は本にもなっていますが、つまり、適切な乱数がなければ、その後に作成された鍵は安全ではないということです。 現在の技術では、各社がハードウェアベースの乱数発生器を作っています。

これは、NISTの暗号モジュール検証プログラムにより、安全な乱数を生成するために特別に設計、テスト、認証されたチップです。 暗号のランダム性を調べることをエントロピーといいます。 ソフトウェアではエントロピーを適切にテストすることができず、ハードウェアだけがテストできます。 ハードウェアで作成した乱数がないと、鍵が漏洩する危険性が高まります。

暗号鍵の正当性を重視する組織では、ハードウェアを使うしかありません。 したがって、バーチャルHSMは、ファイルサーバーの処理能力を利用して暗号化要素を作成するのと変わらないのです。 騙されないでください、バーチャルHSMは存在しません。

HSMが改ざん防止機能を備えているからといって、物理的なセキュリティデバイスがオンプレミスである必要があるというわけではありません。nShield as a Serviceは、nShield HSMのすべての暗号化機能と鍵管理機能を、クラウドベースのサブスクリプションモデルで提供します。

「nShield as a Service」 の詳細はこちらです。