YubiOn
トップセキュリティデバイス超小型HSM
Hardware Security Module

新しいセキュリティ時代の超小型HSM

世の中の急速なデジタル化やテレワークの広まりなどでセキュリティ脅威がより広い範囲に及ぶ中、セキュリティ対策の要として今、HSMに注目が集まっています。

弊社ではYubico社製の「YubiHSM 2」とSwissbit社製の「iShield HSM」の2種類の超小型HSM製品を取り扱っております。これらの超小型HSMがどのような製品か、どのような特徴があるかについてご紹介いたします。

SECURE
ENCLAVE
PWR
ACT
Secure
Key Storage

HSMとは

HSM(ハードウェアセキュリティモジュール)とは

個人情報や社外秘データなど機密性の高い情報を不正アクセスから保護するためには「暗号化」が必須となります。

HSM(ハードウェアセキュリティモジュール)は、そのようなデータの暗号化と復号、およびデジタル署名や証明書などに使用される秘密鍵を安全に保管できるハードウェアです。

簡単に言えば、「秘密鍵を安全に守る金庫の役割をするハードウェア」といったところでしょうか。

なぜ必要か

なぜHSMが必要なのか?

暗号化やデジタル署名といったセキュリティに関する操作は秘密鍵を使用して行われるため、秘密鍵が十分に保護されている必要があります。

もし秘密鍵をサーバーのストレージ上に保存しているとしたら、簡単に盗み出されてしまいます。たとえその秘密鍵を暗号化して保護していたとしても、秘密鍵を使用する際にメモリ上に展開された情報を読み取る攻撃を防ぐことはできません。

Memory Dump Example

メモリーダンプから鍵データを発見する例 コンピューターのメモリー中のデータをダンプし、0は黒、1は白のパターンとして表示したもの。 鍵データは乱数性が高いため、簡単に見分けがつく。

モジュール内で完結する処理

HSMは鍵の保管だけではなく、暗号・電子署名などの演算機能までモジュール内に内蔵しているため、鍵をハードウェアから一切取り出すことなく暗号、電子署名などの処理を行うことができます。これはつまり、メモリ上にすら鍵のデータを展開しないことを意味しており、メモリダンプから鍵データを盗み出す攻撃も防ぐことができます。

物理攻撃からの防御

それではHSMを破壊して直接HSM内部の鍵データにアクセスする攻撃はどうかというと、物理的なアクセスに対してはデータを消去したり改ざんの痕跡を残すなど、物理的な攻撃を防ぐ仕組みを備えています。(耐タンパ性)

このように、鍵を保管する専用のハードウェアを利用することで、サーバーと物理的に分離することができ、さまざまな攻撃に対応することができます。

HSMの機能

HSMの4つの主要機能

鍵を安全に保管する

HSMを破壊して中身を取り出す物理攻撃にも耐性があります。外部からデータを取り出そうとするとデータを消去したり改ざんの痕跡を残すなどの仕組みがあります。耐タンパ性と呼ばれます。

暗号演算や電子署名演算を行う

HSMの内部で暗号処理や電子署名処理を行うことができます。暗号プロセッサが高性能なため、暗号や電子署名を高速化することが可能です。

鍵を生成する

HSM内部で生成された鍵が、一度もHSMの外部に取り出されることがない、安全な運用が可能です。

乱数を生成する

HSMには物理的に乱数を発生させる仕組みがあり、高品質な乱数を作成することが可能です。ソフトウェアで乱数を生成する場合と比較し、攻撃者にヒントを与えない高品質な乱数を作成します。

製品の特徴

弊社取扱HSMの特徴

元々HSMは金融機関などの膨大な処理を行うシステムで用いられており、一般的なHSMはサーバータイプのものが知られています。これらは高性能である代わりに非常に価格が高く、かつサイズが大きいため、設置も困難です。そのため、中小企業での導入は難しいという問題が生じています。

近年において世の中のサイバー犯罪は高度化し続けており、今までのように機密性の高いごく一部のシステムだけではなく、小さな規模のシステムでもセキュリティの必要性は高まっています。

弊社で取り扱っているHSMは、USBに接続できるコンパクトなサイズで、価格も安価なため、これまで導入が難しかった小規模なシステムやIoTにも組み込みやすく、手軽にセキュリティの安全性を高めることができます。

YubiHSM 2
Yubico

YubiHSM 2

iShield HSM
Swissbit

iShield HSM

導入や管理も簡単

これらの製品は業界標準のPKCS#11に対応しており、お客様が業務で利用する製品やアプリケーションに速やかに実装できます。またYubiHSM 2についてはオープンソースのYubiHSM 2 SDKをリリースしておりますので、導入をより簡単にすることができます。

性能比較

性能比較

項目YubiHSM 2iShield HSM
製造メーカーYubicoSwissbit
フォームファクター・USB Type-A (12mm x 13mm x 3.1mm)・USB Type-A (24.0 mm x 12.1 mm x 4.5 mm) ・eMMC (*2024年後半リリース予定)
ターゲット用途・暗号通貨 ・IoT・IoTゲートウェイ、PLCコントローラー等の接続デバイスメーカー ・産業用IoTシステム、産業用オートメーションシステム構築を行うSIer ・IoTアプリケーション対応の耐タンパ性を備えた暗号鍵ストレージ
API・規格・YubiHSM KSP ・PKCS #11 ・Microsoft CNG via the Yubico Key Storage・PKCS#11 & PKCS#15 (IsoAppletプリロード済み) ・OpenSC互換 ・AWS IoT Greengrass ・Azure IoT Hub ・Mednor (Over-the-Air Software Updates for IoT Devices)
セキュアエレメント・AES up to 256 bit ・RSA up to 4096 bit ・ECC up to 521 bit・CC EAL 6+ ・RSA up to 2048 bit ・ECC up to 384 bit
ストレージ容量・126KB・8GB
動作温度・0°C - 40°C・-25°C ~ 85°C
パフォーマンス・性能は使用方法によって異なる 例) RSA-2048-PKCS1-SHA256: ~139ms ECDSA-P256-SHA256: ~73ms・読み取り性能(Read): シーケンシャルリード最大100MBytes/秒、ランダムリードIOPS最大2,500 ・書き込み性能(Write): シーケンシャルライト最大25MBytes/秒
FIPS・FIPS 140-2(FIPS対応版)・対応予定
製造国・米国、スウェーデン・ドイツ

HSMについてのお問い合わせ

弊社はYubico社およびSwissbit社の正規代理店です。HSMにご興味を持たれましたら、お問い合わせページからご連絡ください。

お問い合わせはこちら

※なお、HSMはご発注から納品までにお時間をいただく場合がございます。具体的な納品時期につきましてはお問い合わせ時にご確認ください。