すべてのプロダクト
Search

このプロダクト

    Key Management Service:Cloud Hardware Security Module (HSM) とは

    ドキュメントセンター

    Key Management Service:Cloud Hardware Security Module (HSM) とは

    最終更新日:Mar 18, 2026

    Cloud Hardware Security Module (HSM) は、複数の暗号化アルゴリズムを使用してご利用のデータを確実に暗号化および復号するクラウドベースのハードウェア暗号化ソリューションです。このサービスはご利用のデータを保護し、データセキュリティに関する規制コンプライアンス要件を満たすのに役立ちます。

    概要

    Cloud Hardware Security Module (HSM) は、国家暗号管理局の認証を受けた、または FIPS 140-2 Level 3 の検証に合格したハードウェアセキュリティモジュール上に構築されています。仮想化技術を活用することで、クラウド上のビジネスデータのプライバシーを保護し、データセキュリティに関する規制コンプライアンス要件を満たすことができます。Cloud HSM を使用すると、暗号鍵を安全かつ確実に管理でき、さまざまな暗号化アルゴリズムを使用して安全で信頼性の高いデータの暗号化および復号が可能です。Cloud HSM では、以下の暗号操作を実行できます。

    • 対称キーおよび非対称キーペアなどの暗号鍵を生成、保存、インポート、エクスポート、および管理します。

    • 対称および非対称アルゴリズムを使用してデータを暗号化および復号します。

    • ハッシュ関数を使用してメッセージダイジェストおよびハッシュベースメッセージ認証コード (HMAC) を計算します。

    • データにデジタル署名を行い、署名を検証します。

    • 暗号論的に安全なランダムデータを生成します。

    重要

    HSM は、デバイスの初期化、クラスター構成、モニタリング、SDK 統合に関するテクニカルコンサルティングサービスを提供しています。また、HSM デバイスの商用暗号プロダクト認証証明書も提供しています。ただし、第三者機関による商用暗号アプリケーションセキュリティ評価に関する詳細なドキュメントは含まれていません。詳細については、Alibaba Cloud パブリッククラウド商用暗号評価サービスまでお問い合わせください。

    HSM デバイス

    HSM は、HSM デバイスのハードウェア暗号モジュールから作成された仮想化リソースです。物理的な HSM デバイスと同等のコンプライアンス状態を維持し、完全なデータ暗号化および復号をサポートします。HSM には仮想セキュリティモジュール (VSM) と専用 HSM があります。詳細な仕様については、「仮想暗号マシンのパフォーマンスデータ」をご参照ください。

    仮想暗号マシン

    VSM は、ハードウェアリソースを複数のユーザー間で共有するマルチテナント環境で動作します。中華人民共和国暗号法に準拠しており、FIPS 140-2 Level 3 の検証にも合格しています。中小企業や、中程度のパフォーマンス要件を持つアプリケーションに適しています。サポートされている VSM のタイプは以下のとおりです。

    • 中国本土の VSM:SM 規格準拠汎用 VSM

    • 中国本土以外の VSM:FIPS 規格準拠汎用 VSM

    専用 HSM

    専用 HSM は、ハードウェアリソースを単一ユーザーに専有割り当てします。これにより、高スループットと低遅延を実現します。改ざん耐性設計により最高レベルの物理的セキュリティを提供し、FIPS 140-2 および FIPS 140-3 規格に準拠しています。大企業、金融機関、または最高レベルのセキュリティとパフォーマンスを必要とするシナリオに適しています。国家暗号管理局、NIST (FIPS 140-2 Level 3)、PCI HSM v3 など、権威ある機関による認証を取得しています。

    利用シーン

    • オンプレミスデータセンターの HSM アプリケーションをクラウドサーバーへ移行

      オンプレミスデータセンターの HSM アプリケーションを Elastic Compute Service へ移行する際、オンプレミスの HSM を Cloud Hardware Security Module (HSM) に置き換えることで、暗号化、復号、署名、署名検証などの操作を実行し、クラウド上のデータを保護できます。

    • アプリケーション向けのコンプライアンス準拠の暗号化および復号を提供

      たとえば、Alibaba Cloud Dedicated KMS 向けのアプリケーションシステム内の機密データ、データベース暗号化アプリケーション向けのデータベースデータ、ファイルストレージ向けのファイル暗号化アプリケーション内のデータを HSM を使用して暗号化および復号できます。

    • HTTPS ウェブサイト向け SSL オフロードをサポート

      中国本土の GVSM は SSL オフロードを提供し、サーバー負荷を軽減してクライアントの応答時間を改善します。さらに、HSM が証明書の秘密鍵を生成するため、サーバーからの秘密鍵漏洩を防ぎ、セキュリティを強化できます。

    • 証明書の秘密鍵を保護

      認証局 (CA) が発行したデジタル証明書について、証明書の秘密鍵を HSM に保存し、HSM を使用して署名操作を実行できます。これにより、証明書の秘密鍵のセキュリティを保護できます。

    • Oracle Transparent Data Encryption (TDE) との統合

      HSM は Oracle データベースと統合し、透過的データ暗号化 (TDE) を提供します。TDE は、データベース外の HSM に暗号鍵を保存し、その鍵を使用してデータファイル内の機密データを暗号化します。これにより、機密データのセキュリティを確保します。

    • 機密データの暗号化

      公共サービス、E コマース、金融などの業界で、HSM をアプリケーションと統合してユーザーの機密データを暗号化または保存できます。これにより、セキュリティおよびコンプライアンス要件を満たすことができます。

    メリット

    • 規制コンプライアンス

      • 中国本土の VSM:国家暗号管理局の認証を取得し、暗号業界の技術仕様に準拠しています。これらの仕様には、GM/T 0028-2014「暗号モジュールのセキュリティ要件」、GM/T 0030-2014「サーバー暗号マシン仕様」が含まれます。

      • 中国本土以外の VSM:FIPS 140-2 Level 3 の検証に合格しています。

    • 豊富な業界標準インターフェイスおよび暗号化アルゴリズム

      HSM は、幅広い業界標準インターフェイスおよび暗号化アルゴリズムをサポートしています。サポートされているインターフェイスおよびアルゴリズムの詳細については、「仮想暗号マシンのパフォーマンスデータ」をご参照ください。

    • 安全な鍵管理

      デバイス管理と鍵管理の権限は分離されています。Alibaba Cloud は HSM ハードウェアデバイスのみを管理し、デバイスの可用性監視およびサービスの有効化を担当します。ご利用の鍵に対する完全制御権はお客様にあり、Alibaba Cloud がお客様の鍵にアクセスすることはありません。

    • 優れた拡張性

      必要に応じて購入する HSM の数量を調整できます。負荷分散を使用して、変動する暗号化および復号要件に対応できます。

    • クラスター高可用性

      HSM はクラスター管理をサポートしており、複数の HSM をクラスターに追加することで、高可用性を向上させ、サービス中断およびコアデータ損失のリスクを低減できます。

    • クラウドでの使いやすさ

      指定した Virtual Private Cloud (VPC) に HSM をデプロイできます。その後、プライベート IP アドレスを使用して安全に管理および呼び出しが可能であり、クラウドベースのアプリケーションとのシームレスな統合を実現します。

    サポート対象 リージョンおよびゾーン

    • 中国本土

      リージョン

      リージョン ID

      ゾーン

      中国 (杭州)

      cn-hangzhou

      ゾーン A、ゾーン G

      中国 (上海)

      cn-shanghai

      ゾーン A、ゾーン B、ゾーン F

      中国 (北京)

      cn-beijing

      ゾーン A、ゾーン F、ゾーン K

      中国 (深セン)

      cn-shenzhen

      ゾーン A、ゾーン E

      中国 (成都)

      cn-chengdu

      ゾーン A、ゾーン B

      中国 (河源)

      cn-heyuan

      ゾーン A、ゾーン B

    • 中国本土以外

      リージョン

      リージョン ID

      ゾーン

      中国 (香港)

      cn-hongkong

      ゾーン B、ゾーン C

      シンガポール

      ap-southeast-1

      ゾーン A、ゾーン B

      マレーシア (クアラルンプール)

      ap-southeast-3

      ゾーン A、ゾーン B

      SAU (リヤド - パートナー リージョン)

      me-central-1

      ゾーン A、ゾーン B

      インドネシア (ジャカルタ)

      ap-southeast-5

      ゾーン A、ゾーン B

    用語集

    • HSM インスタンス

      HSM インスタンスは、HSM デバイスのハードウェア暗号モジュールから作成された仮想化リソースです。物理的な HSM デバイスと同等のコンプライアンス要件を満たし、データ暗号化および復号などのすべての HSM 機能をサポートします。

    • 認証カード (USB Key)

      これは Cloud Hardware Security Module (HSM) の固有識別子であり、HSM クライアント管理ツールと併用して鍵を管理します。中国本土の HSM のみで利用可能です。

    • クラスターサービス

      HSM はクラスターサービスを提供しています。このサービスにより、同一リージョン内の異なるゾーンに配置された、同一アプリケーション向けの複数の HSM インスタンスをグループ化できます。これにより、暗号操作の集中管理、高可用性、負荷分散、水平方向へのスケーラビリティを実現します。各クラスターには 1 つのマスター HSM インスタンスと複数の非マスター HSM インスタンスが含まれます。ゾーン内のすべての HSM インスタンスは同じサブネットを共有します。