定義:クラウドHSMは、クラウドでホストされるハードウェアセキュリティモジュール(HSM)です。クラウドサービス展開の利点を活用し、オンプレミスのアプライアンスをホストおよび維持する必要性を排除しながら、暗号化鍵をホストし、暗号化操作を実行できます。
クラウドHSMの説明
クラウドハードウェアセキュリティモジュール(HSM)は、クラウドからホストすることも、サービスとして提供することもできます。
- ホスト型HSMは、顧客が所有し、Utimacoなどのクラウドサービスプロバイダーまたはベンダーが運営する物理的に独立したHSMです。このソリューションは、不正な物理的アクセスに対する高レベルの物理的保護を提供し、FIPS 140-2、レベル3に理想的に準拠しています。ただし、スケーラビリティはホスト型HSMの容量に制限されます。スケールアップするには、より多くの物理デバイスを展開する必要があります。
- 完全または部分的に管理された共有HSMを提供するサービスとしてのソリューション。鍵管理のような管理機能は、サービスソリューションの一部である場合もあれば、顧客がオンプレミスまたは別のクラウドで実行する場合もあります。
- コンテナ化されたHSMでテナントを提供するサービスとしてのソリューション、テナントごとにFIPS 140-2レベル3が保護されています。そのようなコンテナは、テナントごとに個々のポリシーとファームウェアを提供し、クラウドのスケーラビリティの利点を提供します。それらはクラウドサービスプロバイダー(CSP)のインフラストラクチャの外にあり、暗号化要件に対する顧客の完全な制御を維持します。
サービスは、マルチクラウド戦略またはハイブリッドクラウド戦略のいずれかとして提供できます。クラウドHSMは、保護されたクラウドサービスのインフラストラクチャ内に配置することも、外部の場所に配置することもできます。後者は、多数のサードパーティクラウド、および顧客のローカルデータセンターを含むハイブリッドクラウド全体でHSMサービスを使用できるという利点をもたらします。
クラウドHSMを使用すると、組織は次のことができます。
- 組織のクラウド要件と戦略に沿った暗号セキュリティ要件を統合します。
- ビジネスに不可欠なセキュリティ要件に費用対効果の高い簡素化されたソリューションを有効にします。
- CapExからOpExファイナンシャルモデルに移行する。
- FIPS 140-2、PCIおよび共通基準EAL4+高保証セキュリティおよびコンプライアンスの要件を満たす。
- 熟練したスタッフが他の重要な分野に集中できるようにする。
クラウドへの移行は、セクター固有の要件と規制のコンテキストの中で行われ、HSMがセキュリティに敏感な業界の主要な規制に準拠していることを保証する必要があります。クラウドサービス環境への適応は、リソースの共有から、データの提供、サービスの簡単なオーケストレーションまで、さまざまな利点を提供します。
重要なお知らせ
ローカルに展開された(オンプレミスの)HSMアプローチ以外にも、多数のクラウドサービスプロバイダーおよびHSMデバイスメーカーが、「サービスとしての」ハードウェアセキュリティモジュールまたはマネージドサービスを提供しています。
ただし、これらのマネージドサービスまたはクラウドサービスの使用は、PCI DSS環境との統合に有益であり得るが、PCI PIN、PCI P2PE、またはPCI 3DS環境での使用には適していない汎用HSMデバイスを提供することに注意してください。
UtimacoのMYHSMは、PCI PINに準拠したバンキンググレード環境で、完全に管理されたクラウドベースのHSM(サービスとしてのHSM)を提供します。
