Q: ハードウェアセキュリティモジュール（HSM）とは

ハードウェアセキュリティモジュール（HSM） は、データの暗号化と復号、およびデジタル署名と証明書の作成に使用される鍵を生成、保護、管理することで暗号化プロセスをセキュアに保つ、強化された耐タンパ性機能付きハードウェアデバイスです。 HSMは、 FIPS 140-2 および コモンクライテリア などを含む、最高のセキュリティ基準に準拠して、テスト、検証、および認定されています。 Entrustは、 nShield汎用HSM の製品群を有する、HSMの世界的な大手プロバイダーです。 HSMにより、次のことが可能になります。 GDPR 、 eIDAS 、 PCI DSS 、 HIPAA などを含む、サイバーセキュリティに関する確立された新しい規制基準以上のセキュリティ対策を実施可能 より高いデータの安全性と信頼性を実現 高いサービスレベルとビジネスの機敏性を維持 ビデオを見る - ハードウェアセキュリティモジュールとは？ （3:18）

Q: 乱数生成とは

乱数生成（RNG）とは、アルゴリズムまたはデバイスによって作成された乱数を指します。 暗号化キーは、認証された乱数のソースを使用して作成することが重要です。これは、ソフトウェアベースのシステムにとって難しい問題です 乱数ジェネレーターのエントロピーのソースがソフトウェアベースの測定から導出される場合、エントロピーが予測できない、または影響を受ける可能性がないことを保証することはできません。HSMは、RNGにハードウェアベースのエントロピーソースを使用します。これは、すべての通常の動作条件で優れたエントロピーソースを提供することが確認されています。これは、ユーザーがクラウドサービスプロバイダーにアップロードするキーを作成および管理できる BYOK（自分の鍵を使用） のようなユースケースにとって重要です。

Question 1

ハードウェアセキュリティモジュール（HSM）とは

Accepted Answer

ハードウェアセキュリティモジュール（HSM）は、データの暗号化と復号、およびデジタル署名と証明書の作成に使用される鍵を生成、保護、管理することで暗号化プロセスをセキュアに保つ、強化された耐タンパ性機能付きハードウェアデバイスです。 HSMは、FIPS 140-2およびコモンクライテリアなどを含む、最高のセキュリティ基準に準拠して、テスト、検証、および認定されています。 Entrustは、nShield汎用HSMの製品群を有する、HSMの世界的な大手プロバイダーです。

HSMにより、次のことが可能になります。

GDPR、eIDAS、PCI DSS、HIPAAなどを含む、サイバーセキュリティに関する確立された新しい規制基準以上のセキュリティ対策を実施可能
より高いデータの安全性と信頼性を実現
高いサービスレベルとビジネスの機敏性を維持

ビデオを見る - ハードウェアセキュリティモジュールとは？（3:18）

Question 2

サービスとしてのHSMまたはクラウドHSMとは

Accepted Answer

HSM as a Serviceは、サブスクリプションベースのサービスであり、お客様はクラウド内のハードウェア・セキュリティ・モジュールを使用して、機密データとは別に、暗号鍵のマテリアルを生成、アクセス、および保護できます。このサービスは通常、オンプレミス展開と同じレベルの保護を提供すると同時に、柔軟性を高めます。お客様がCapExをOpEx化することにより、必要なときに必要なサービスに対してのみ課金されるようにします。

nShield as a Serviceは、専用のFIPS 140-2レベル3認定のnShield HSMを使用します。このオファリングは、オンプレミスのnShield HSMと同じ特徴と機能のフルセットを、クラウドサービス展開の利点と組み合わせて提供します。これによりお客様は、クラウドファーストの目標を達成するか、オンプレミスとas-a-ServiceのHSMを組み合わせて導入することができます。またas-a-Serviceアプライアンスの保守は、Entrustの専門家によって提供されます。

ビデオを見る - nShield as a Serviceとは（3:06）

Question 3

なぜHSMを使用する必要があるのか

Accepted Answer

暗号化やデジタル署名などの暗号に関するオペレーションは、使用する秘密鍵が十分に保護されていないと意味がありません。今日の攻撃者は、保存されている、または使用されている秘密鍵を見つける能力が非常に高くなっています。HSMは、秘密鍵と関連する暗号化オペレーションを保護するためのゴールドスタンダードであり、それらの鍵にアクセスできるユーザーとアプリケーションに対して、使用する組織によって定義されたポリシーを適用します。HSMは、暗号化またはデジタル署名を実行するさまざまな種類のアプリケーションで使用できます。2021 Ponemon Global Encryption Trends Study（2021年5月）による、HSMユースケースのトップ10を下図に示します。

Question 4

HSMはどのような価値を提供しますか？

Accepted Answer

HSMは、暗号化とデジタル署名を実行するさまざまなアプリケーションのセキュリティを、強化および拡張します。

Question 5

信頼の基点とは

Accepted Answer

信頼の基点（RoT）は、暗号化システム内で常に信頼できるソースです。暗号化セキュリティは、データの暗号化と復号化、およびデジタル署名の生成や署名の検証などの機能を実行するための鍵に依存しているため、RoTスキームには通常、強化されたハードウェアモジュールが含まれています。主な例は、鍵を生成して保護し、安全な環境内で暗号化機能を実行するハードウェア・セキュリティ・モジュール（HSM）です。

このモジュールは、コンピューティングエコシステムの外部からはアクセスできないすべての意図と目的のためのものであるため、そのエコシステムは、RoTから受信した鍵やその他の暗号化情報を信頼して認証されます。モノのインターネット（IoT）が急増するにつれて、これは特に重要です。ハッキングを回避するために、コンピューティングエコシステムのコンポーネントには、受信した情報が本物であるかどうかを判断する方法が必要だからです。RoTは、データとアプリケーションのセキュリティを保護し、エコシステム全体への信頼を構築するのに役立ちます。

RoTは、ルートおよびCertificate Authorityのキーを生成および保護するための公開鍵インフラストラクチャ（PKI）の重要なコンポーネントです。ソフトウェアが安全で、変更されておらず、本物であることを保証するためのコード署名、およびIoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを証明および認証するためのデジタル証明書とマシンIDの作成を実施します。

Question 6

乱数生成とは

Accepted Answer

乱数生成（RNG）とは、アルゴリズムまたはデバイスによって作成された乱数を指します。暗号化キーは、認証された乱数のソースを使用して作成することが重要です。これは、ソフトウェアベースのシステムにとって難しい問題です

乱数ジェネレーターのエントロピーのソースがソフトウェアベースの測定から導出される場合、エントロピーが予測できない、または影響を受ける可能性がないことを保証することはできません。HSMは、RNGにハードウェアベースのエントロピーソースを使用します。これは、すべての通常の動作条件で優れたエントロピーソースを提供することが確認されています。これは、ユーザーがクラウドサービスプロバイダーにアップロードするキーを作成および管理できるBYOK（自分の鍵を使用）のようなユースケースにとって重要です。

ハードウェア・セキュリティ・モジュール（HSM）とは