Managed HSM は、Key Management Service (KMS) の機能の一つで、Alibaba Cloud 上に専用かつ認証済みのハードウェアセキュリティモジュール(HSM)を提供します。最も機密性の高いキーは、検証済みのハードウェア内でのみ処理・保存され、ハードウェアのセキュリティ境界外に公開されることはありません。また、基盤となるインフラストラクチャを管理する必要もありません。
メリット
ハードウェアによるキー保護:プレーンテキストのキーマテリアルは、HSM 内でのみ処理・保存されます。キーがハードウェアのセキュリティ境界を越えることはありません。
認証済みコンプライアンス:HSM は、中国本土では国家暗号管理局(SCA)の基準に準拠しており、その他のリージョンでは連邦情報処理標準(FIPS)140-2 Level 3 およびクレジットカード業界データセキュリティ基準(PCI DSS)に準拠しています。
インフラストラクチャのオーバーヘッドなし:Alibaba Cloud がハードウェアのライフサイクル管理、HSM クラスター管理、高可用性、スケーラビリティ、システムパッチ適用、およびディザスタリカバリ操作の大部分を担当します。お客様は HSM 自体と暗号鍵の生成・使用を制御できます。
従量課金制:オンプレミス HSM の前払い導入コストや、継続的な研究開発(R&D)および運用保守(O&M)コストを回避できます。
利用シーン
クラウドワークロードの静的データ暗号化:Managed HSM を Elastic Compute Service (ECS) や ApsaraDB RDS と統合し、R&D 投資なしに静的データを暗号化できます。キーのバージョン管理、自動キーのローテーション、リソースタグ管理、制御された権限付与が標準で提供されます。
BYOK による完全なキー ライフサイクル制御:Bring Your Own Key (BYOK) 機能と Managed HSM を組み合わせることで、キーマテリアルの生成方法、処理方法、永続化方法を完全に制御できます。インポートされたキーマテリアルは削除可能ですが、エクスポートはできません。
厳格なコンプライアンス要件への対応:金融サービス、政府機関、その他の規制対象業界の組織は、独自の HSM ハードウェアを導入・認証することなく、Managed HSM を活用して FIPS 140-2 Level 3、PCI DSS、または SCA 認証要件を満たせます。
サポート対象リージョン
| リージョン | 認証タイプ | リージョン ID |
|---|---|---|
| 中国 (北京) | 国家暗号管理局(SCA)認証 | cn-beijing |
| 中国 (張家口) | SCA 認証 | cn-zhangjiakou |
| 中国 (杭州) | SCA 認証 | cn-hangzhou |
| 中国 (上海) | SCA 認証 | cn-shanghai |
| 中国 (深セン) | SCA 認証 | cn-shenzhen |
| 中国 (香港) | FIPS 140-2 Level 3 | cn-hongkong |
| シンガポール | FIPS 140-2 Level 3 | ap-southeast-1 |
| マレーシア (クアラルンプール) | FIPS 140-2 Level 3 | ap-southeast-3 |
| インドネシア (ジャカルタ) | FIPS 140-2 Level 3 | ap-southeast-5 |
| 米国 (バージニア) | FIPS 140-2 Level 3 | us-east-1 |
コンプライアンス
Alibaba Cloud は、各地域の規制要件を満たすために、さまざまな第三者機関によって認証された HSM を提供しています。金融サービス、政府機関、その他の規制対象業界の組織は、これらの認証を利用してコンプライアンス義務を果たせます。
中国本土のリージョン
SCA 認証:Alibaba Cloud の HSM は、国家暗号管理局(SCA)が指定する機関による認証を取得しています。
SCA コンプライアンス:HSM は SCA の技術要件に準拠しており、国家および業界標準を満たす商用暗号アルゴリズムを提供します。
中国本土以外のリージョン
FIPS 140-2 Level 3 検証:HSM のハードウェアおよびファームウェアは、FIPS 140-2 Level 3 の検証を通過しています。HSM は FIPS 承認 Level 3 運用モードで動作します。
PCI DSS:HSM は、クレジットカード業界データセキュリティ基準(PCI DSS)の要件に準拠しています。
ご利用前に、HSM がお客様の特定のコンプライアンス要件を満たしているか確認してください。
仕組み
ハードウェア保護
HSM は、暗号操作を実行し、キーを生成・保存する高度にセキュアなハードウェアデバイスです。お客様のキーのプレーンテキストキーマテリアルは、常に HSM 内でのみ処理され、ハードウェアのセキュリティ境界内に保持されます。
安全なキー生成
Managed HSM は、高エントロピーを持つライセンス済みの乱数生成アルゴリズムを使用してキーマテリアルを生成します。これにより、攻撃者によるキーの回復や予測を防止します。
BYOK によるキー制御
Managed HSM を BYOK と併用すると、以下の項目を完全に制御できます。
キーマテリアルの生成方法
キーマテリアルの処理方法(インポートされたキーマテリアルは削除可能ですが、エクスポート不可)
キーのライフサイクル
キーの永続化