暗号鍵管理 Thales Luna HSM
機密データを暗号化することで安心していませんか?
個人情報、クレジットカード番号などの情報漏えい事故が後を絶ちません。
機密データを暗号化して保存していたとしても、復号するための暗号鍵が安全に管理されていなければ、容易に復号されてしまいます。
Thales Luna HSMは汎用HSM(ハードウェアセキュリティモジュール)です。
ハードウェア内で暗号鍵を厳重に管理し、暗号化データと暗号鍵を物理的に分けることにより、仮に暗号データが盗まれても、暗号鍵が盗まれないため復号されません。
データ暗号化とリスク
暗号鍵の管理が十分でない場合、以下のようなリスクがあります。
- 特権ユーザーの不正アクセスによる情報漏えい
- 外部からの不正アクセスによる暗号化データと暗号鍵の窃取による情報漏えい
- バックアップデータの盗難による情報漏えい
- 故障のため破棄したバックアップストレージからの情報漏えい
- バックアップ時に暗号鍵は別に保管する場合、紛失すると復号できなくなる
- ディスクの抜き取り(持出)による情報漏えい
- 故障のため破棄したディスクからの情報漏えい
Thales Luna HSMによる鍵管理
Thales Luna HSMによる鍵管理で上記リスクを低減することが可能です。
HSM内で管理される秘密鍵はどのような形でもHSM外に保存されることはありません。
物理的に暗号化データと秘密鍵を切り離し、秘密鍵はHSMで管理することにより情報漏えいリスクを低減することができます。
Thales Luna HSMの特長
- 信頼性の高いハードウェアでの鍵管理
-
- FIPS140-2(Level3)/ FIPS140-3(Level3)認証済み
- 秘密鍵をHSM外へ取り出せない設定が可能
- 物理的な攻撃を検出すると、不正利用防止機能が起動し暗号鍵を自動削除(耐タンパ性)
- 耐量子計算機暗号(PQC)としてLMS/HSS、ML-KEM(CRYSTALS-Kyber)、ML-DSA (CRYSTALS-Dilithium)に対応
- 職務分掌
-
- 権限を分割する事により、一人の管理者に権限を集中させない運用が可能
- 各Role認証を複数人で行うことを強制可能(MofN認証)※PED認証モデルのみ
- アプリケーションインターフェース
-
- PKCS#11, Java (JCA/JCE), Microsoft CAPI and CNG, OpenSSL, REST
- アプリケーション例
-
- PKI鍵生成と保管(認証局)
- 証明書検証と署名
- データベース暗号化及び鍵管理
- 各種アプリケーションの鍵管理
- 標準機能に加えさらなる強固なセキュリティを実現(オプション)
-
- Backup HSMによる暗号鍵のバックアップ
- 認証用PED端末(PIN 入力デバイス)/USBトークン(物理鍵)による二要素認証
製品ラインナップ
お客様の用途や性能要件に応じてご選択いただけます。
すべてFIPS140-3(Level3)認証済み。
Luna Network HSM
- 15インチラック1Uサイズのアプライアンスタイプ
- 独立した電源装置やLANインターフェース、管理用OSを搭載
- HA(High-Availability)構成とロードバランス機能が利用可能
| モデル名 | 認証 | RSA-2048 signing ops |
ECC P256 signing ops |
AES-GCM small packet encryption ops |
容量 |
|---|---|---|---|---|---|
| Luna Network HSM A700 | パスワード | 1000 | 2000 | 2000 | 4MB 最大5パーティション |
| Luna Network HSM A750 | パスワード | 5000 | 10000 | 10000 | 32MB 最大20パーティション |
| Luna Network HSM A790 | パスワード | 10000 | 20000 | 20000 | 64MB 最大100パーティション |
| Luna Network HSM S700 | PED | 1000 | 2000 | 2000 | 4MB 最大5パーティション |
| Luna Network HSM S750 | PED | 5000 | 10000 | 10000 | 32MB 最大20パーティション |
| Luna Network HSM S790 | PED | 10000 | 20000 | 20000 | 64MB 最大100パーティション |
Luna PCIe HSM
- お客様で所有するサーバー筐体内のインターフェースに装着するPCIeカードタイプ
- 既にご利用中のサーバーにHSMの堅牢性を追加することが可能
| モデル名 | 認証 | RSA-2048 signing ops |
ECC P256 signing ops |
AES-GCM small packet encryption ops |
容量 |
|---|---|---|---|---|---|
| Luna PCIe HSM A700 | パスワード | 1000 | 2000 | 2000 | 4MB 最大5パーティション |
| Luna PCIe HSM A750 | パスワード | 5000 | 10000 | 10000 | 32MB 最大20パーティション |
| Luna PCIe HSM A790 | パスワード | 10000 | 20000 | 20000 | 64MB 最大100パーティション |
| Luna PCIe HSM S700 | PED | 1000 | 2000 | 2000 | 4MB 最大5パーティション |
| Luna PCIe HSM S750 | PED | 5000 | 10000 | 10000 | 32MB 最大20パーティション |
| Luna PCIe HSM S790 | PED | 10000 | 20000 | 20000 | 64MB 最大100パーティション |
Luna USB HSM
- USB接続で動作する小型軽量タイプ
- ノートPCや移動体等、常設しない機器と連携する用途に最適
| モデル名 | 認証 | RSA-2048 signing ops |
ECC P256 signing ops |
AES-GCM small packet encryption ops |
容量 |
|---|---|---|---|---|---|
| Luna USB HSM U700 | パスワード / PED | 62 | 48 | 1350 | 32MB 最大1パーティション |
Luna Backup HSM
- Network HSM / PCIe HSM / USB HSMからのバックアップ用途専用のHSM
- Network HSM / PCIe HSM / USB HSMと連携し、安全なバックアップを実現
| モデル名 | 認証 | 容量 |
|---|---|---|
| Luna Backup HSM B700 | パスワード / PED | 32MB 最大100バックアップ |
| Luna Backup HSM B750 | パスワード / PED | 128MB 最大100バックアップ |
| Luna Backup HSM B790 | パスワード / PED | 256MB 最大100バックアップ |
Thales Luna HSMの構成例
NTTデータ先端技術の強み
セキュリティ専門部隊としての技術力
長年培った技術力を活かし、製品の提供のみならず、お客様環境に合わせた構築支援から運用支援まで、最適な提案を行っています。
国内初のPCI DSS認定審査機関としての経験
PCI DSS(クレジットカード情報を効果的に保護するための国際的な統一セキュリティ基準)の国内最初の認定審査機関としてQSA/ASV/PA-QSAの資格を保持。
経験豊富なプロフェッショナルが、PCI DSS準拠、維持を支援します。
Thales Luna HSMは、PCI DSSの一部要件(秘密データの保護、必要最低限のデータアクセス権限、秘密情報への物理アクセス制御、機密情報アクセスの監視など)への対策に効果的です。
※ PCI DSSについては「PCI DSS徹底解説」をご参照ください。
※ 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。