定義:ハードウェアセキュリティモジュール(HSM)は、機密データに追加のセキュリティを提供する「信頼できる」物理コンピューティングデバイスです。このデバイスは、アプリケーション、ID、データベースを使用するための暗号化、復号化、認証などの機能のための暗号鍵を作成、提供、保護、管理します。
ハードウェアセキュリティモジュール(HSM)の説明
ハードウェアセキュリティモジュールは、暗号化、復号化、認証、鍵管理、鍵交換など、すべての主要な暗号化操作を実行する、改ざんおよび侵入に強い、信頼性の高い物理デバイスです。HSMの唯一の目的は、暗号化データを隠し、保護することです。堅牢なオペレーティングシステムを備え、ファイアウォールを介してネットワークアクセスを制限しています。HSMは、次を含むさまざまな基準および規制を遵守する必要があります。
- 欧州連合の一般データ保護規則
- PCIデータセキュリティスタンダード
- ドメイン名システムセキュリティ拡張機能
- FIPS 140-2
- 共通基準
HSMは「信頼できる」デバイスです。
- 専用ハードウェアの上に構築特別な研究所で、ハードウェアは徹底的にテストされ、認定されています
- セキュリティ重視のオペレーティングシステムを使用しています
- 内部ルールに厳格に準拠したネットワークインターフェイスを介してアクセスを制限
- 暗号化データを積極的に隠し、保護
HSMは、スマートカード、ハードウェア(暗号化カード)に含まれる専用カード、ポータブルデバイス、自己完結型デバイス(アプライアンス)、サイトにインストールされたIoTデバイス、ホストされたデバイス、またはクラウドサービス(サービスとしてのHSM)として提供されているデバイスに搭載されています。
ハードウェアセキュリティモジュールには、主に次の2種類があります。
1.汎用
汎用HSMは、PKCS#11、CAPI、CNGなどの最も一般的な暗号化アルゴリズム、および主に公開鍵インフラストラクチャで使用されるその他の一般的なアルゴリズムを利用して、デジタル鍵と証明書(PKIが侵害されないように保護します)、暗号ウォレット、およびその他の基本的な機密データを保護することができます。
2.決済と取引
決済用HSMは、主に次のような決済取引の保護のために銀行業界で使用されます。
- PINの使用(POSおよびATMで実行される取引でのPINブロックの生成、管理、検証および変換)
- 電子資金移動(EFT)の保護
- カード製造およびパーソナライゼーションプロセスにおける磁気ストリップおよびEMVチップのデータの生成
- デビットカード及びクレジットカードによる決済取引の処理
- 決済取引処理中のカード、ユーザー、暗号の検証
- クレジットカードとモバイルアプリケーション向け決済クレデンシャル発行
決済用HSMは、通常、ほとんどのカードブランドの決済アプリケーションに暗号サポートを提供し、その相互接続インターフェイスは通常、汎用HSMよりも制限されています。
HSMを使用する利点
ハードウェアセキュリティモジュールには、次のような多くの利点があります。
- 非常に安全な物理システムを提供するための改ざん耐性、タンパーエビデント、および改ざん防止システム
- 市場の機密データと暗号鍵に最高レベルのセキュリティの提供
- セキュリティ基準と規制への適合
- 暗号鍵のライフサイクルタスクを迅速かつ効率的に自動化できます
- 暗号鍵は、複数の場所ではなく、単一の場所に保存されます。
強力なオペレーティングシステムと限られたネットワークアクセスを備えた物理デバイスであるため、HSMは組織のセキュリティインフラストラクチャの「信頼のルーツ」となります。