nShield Connect


 
 

nShield Connect

柔軟でスケーラブル、
フォールトトレラントな
ネットワーク接続式HSM

FIPS 140-2   Common Criteria

Thales e-SecurityのnShield Connectは、分散アプリケーションのインスタンスおよび仮想マシン用の共有リソースとして、安全な暗号サービスを提供する、高性能のネットワーク接続ハードウェアセキュリティモジュール(HSM)です。nShield Connectを使用すれば、ソフトウェアベースの暗号では不十分なサーバーベースのシステムに関し、コスト効率の高い方法で適切なレベルの物理的制御と論理的制御を実現できます。タレスのSecurity Worldアーキテクチャに全面的に対応したnShield Connectは、高い保証性と使いやすさの理想的な組み合わせを提供します。これにより、デュアルコントロールなどのセキュリティポリシの決定と実施がさらに容易になり、負担もリスクも大きい管理業務を自動化できます。

nShield Connectは他のnShield HSMファミリと完全に互換しているため、性能要件の拡大に合わせて容易に他のHSMを混在させたり他のHSMに移行したりすることができます。また、さまざまな能力要件を満たすことができるよう、楕円曲線暗号(Elliptic Curve Cryptography:ECC)用に最適化されたモデルを含め、異なる性能を持つ複数のモデルが用意されています。冗長性を備えたnShield Connectのハードウェアはフォールトトレランス性を実現しており、高可用性のデータセンターに最適です。第三者機関によって証明されたこのセキュリティプラットフォームは、さまざまな市販ビジネスアプリケーションやカスタムビルドのビジネスアプリケーションのために、また、公開鍵インフラストラクチャ(Public Key Infrastructures:PKI)、アイデンティティ管理システム、データベース、インターネット網、DNSのセキュリティ拡張機能(Domain Name System Security Extension:DNSSEC)の実装、コード署名を含む重要なセキュリティシステムのために、暗号化やデジタル署名などの鍵管理と暗号操作を実行します。そのセキュリティ境界の妥当性は、FIPS 140-2 レベル3およびコモンクライテリアEAL4+に従って認定されています。

nShield Connectの利点

  • HSMがソフトウェアベース暗号の持つ本質的な脆弱性を解決します。
  • 強力な鍵管理アーキテクチャが、コンプライアンス報告を含む運用コストを最小限に抑えます。
  • 共有された集中型プラットフォームが最大限の使いやすさとスケーラビリティを実現します。
  • 高可用性環境での導入を想定した障害回復機能に優れた設計です。
  • ネットワーク型のアーキテクチャにより、従来型、仮想化型、およびクラウド型の実装に対応します。

   

nShield Connectの特徴

セキュリティ関連

ハードウェアセキュリティモジュール(HSM)の主な目的は、HSMを使用しない場合はソフトウェアアプリケーションやオペレーティングシステム、あるいは保護されていないサーバーハードウェアによって行われる暗号操作のセキュリティを強化することにあります。これらHSM以外による方法の大部分は、データ漏洩、不適切な構成設定、改ざんなどに対して脆弱です。この追加的な保護は、多層アプローチによって組み合わされた複数の実績ある技術を使用することによって実現されます。これらの技術には以下のようなものが含まれます。

物理的セキュリティ対策

  • 暗号プロセスと鍵をアプリケーションとホストオペレーティングシステムから隔離し、厳密に管理された暗号APIからのアクセスのみを可能にするための専用装置。
  • CodeSafe機能の使用を通じ、セキュリティにとって重要なアプリケーションコード部分をホストサーバーから移し、HSMの物理的セキュリティによって保護された耐タンパ性のアプリケーション「サンドボックス」内で安全に実行するオプション機能。
  • 内部回路を保護するためのエポキシポッティングや、デバイスへの直接的な不正アクセスを検知するためのセキュリティラベルなどの対策が施された、物理的攻撃防止用の特注シャーシ。
  • シャーシ、電源、および温度の完全性を含む環境条件の監視により、攻撃の可能性を検知。
  • nShield Connect HSMの共有リソースへアクセスするクライアントマシンに対する強力な認証能力(nTokenアクセサリを参照)。

論理的セキュリティ対策

  • HSMに直接アクセスするすべての管理者とユーザーは、HSM自体が発行して管理するスマートカードを使用して厳密に個別認証されるため、パスワードに依存する必要がなくなります。パスワードは他のシステム内で管理されたり他のアプリケーションに使用されたりすることもあり、脆弱な上に共有されることも少なくありません。
  • アプリケーションの「スーパーユーザー」またはルート相当の管理者が広範な権限を有するソフトウェアベースのシステムとは対照的に、HSM管理者とHSMで保護している鍵の使用を承認する鍵管理者とを区別して、役割を明確に分離します。
  • 鍵回復など、特に慎重に扱うべきタスクを実行するために一定数の人数を要求する設定として、操作に複数の管理者やオペレータが必要となるデュアルコントロール。この相互監視のためのアプローチは、悪意ある内部関係者の脅威を最小限に抑えるための方法として一般的なものであり、構成設定の自由度が高く、HSM内で厳密に実行されます。
  • CodeSafeによって保護されたアプリケーションに対する厳密な完全性評価とポリシーの実行(オプション)。

運用関連

過去においては、高度なセキュリティ機能は扱いにくい傾向にあり、余分な労力が求められる上に性能への影響もありました。結果として、管理者は、セキュリティと性能および効率との間で不本意なトレードオフを行なわざるを得ませんでした。nShieldファミリのHSMとそのSecurity World鍵管理アーキテクチャは、数多くの重要な鍵管理タスクを自動化し、キャパシティや性能に関する制約を無くすことによって、セキュリティと便利さの両方を同時に実現します。これらの特徴には以下のようなものがあります。

  • 既存データのバックアップ、レプリケーション、およびファイル共有などの手法を利用して、安全かつ自動的にアプリケーション鍵の共有、配布、およびバックアップを行なう強力な機能。コストのかかるHSM固有の方法を確立する必要性を最小限に抑えることによって、HSMの導入および管理のタスクを大幅に単純化します。
  • 最大限に幅広いアプリケーションとシステムをサポートするための標準アプリケーションインターフェースと、導入リスクを最小限に抑えるための最先端アプリケーションベンダーとの広範な事前テストプログラム。
  • クライアントマシン上でのリソース集約的な処理を無くし、全体性能を向上させて最大限のキャパシティを実現する暗号処理の高速化とオフロード。
  • 保護する鍵のストレージに容量制限が無く、全体的なスケーラビリティが向上。
  • 専用ハードウェアや、コストのかかるバックアップ用HSMへの鍵保存の必要性を排したバックアップ手法。
  • デュアルホットスワップ電源と現地で交換可能な冗長ファンを含むフォールトトレラントなシャーシ設計。
  • 複数のHSMを統合して、ロードバランシングとフェイルオーバーの機能を備えた障害回復性の高いネットワークを構築可能。
  • 鍵管理者およびシステム管理者がセキュアな形で業務を実行し、コストを削減して不便さを減らすことができるリモート制御。
  • CodeSafeで保護されたアプリケーションのリモートプロビジョニング(オプション)。

nShield Connectのオプションとアクセサリ


クイックリンク

開発者用ソフトウェアとオプション

アクセサリ


 

開発者用ソフトウェアとオプション

性能等級

nShield Connectには、その性能に応じて500、1500、6000の3種類があります。これらの数字はおおまかな署名処理能力を示しており、1024ビットRSA署名時における1秒あたりのトランザクション数で表されています。さらに、モデル6000+は高パフォーマンスでの楕円曲線暗号(ECC)用に最適化されています。詳しい性能データについてはnShield Connectのデータシートをご覧ください。

クライアントライセンス

nShield Connectには3つのクライアントライセンスがバンドルされています。3つ以上のクライアントにnShield Connect HSMを接続する場合は、追加クライアントライセンスを購入できます。お使いのHSMで使用可能なクライアント数については、nShield Connectのデータシートをご覧ください。さらに、HSMクライアントのセキュリティを強化する場合に使用可能な追加オプションについては、「アクセサリ」の「nToken」に関する説明をご覧ください。

CodeSafe

CodeSafeを使用すれば、アプリケーション開発者はnShield HSMのセキュアな環境にセキュアにロードされるプログラムを記述して、標準的なサーバープラットフォームに見られる内部関係者による攻撃、マルウェア、トロイの木馬などの脅威から、それらのプログラムを保護できます。CodeSafeは「サンドボックス」と呼ばれるアプリケーションを提供します。サンドボックスはコードの完全性を評価し、耐タンパ性が確保された方法で実行を許可するので、信頼の置けない場所に配置されたアプリケーションに最適です。セキュアな実行能力はセキュリティ機能を強化し、プライベート鍵や不揮発性ユーザーメモリー、ハードウェアによってセキュリティが確保された時間など、デバイス上で保護されているセキュリティ上クリティカルなリソースの使用に関して、きめ細かいアクセス制御や許可を行うことを可能にします。例としては、デジタルメーター、認証エージェント、タイムスタンプエンジン、監査ロガー、デジタル署名エージェント、カスタム暗号化プロセスなどがあります。CodeSafeは、nShield Edgeを除き、FIPS 140-2レベル3の認定を受けたすべてのnShield HSMに使用できます。

CodeSafe
アクティベーション

CodeSafeを使用する場合は、CodeSafeプログラムを実行するHSM1台ごとに1つのCodeSafeアクティベーションライセンスが必要です。

CodeSafe SSL
アクティベーション

SSLアクティベーションはCodeSafeのオプション機能で、HSM内でSSLセッションをセキュアに終端できるようにします。慎重に扱うべきクリアテキストデータがホスト上に平文でさらされてしまう標準的なSSLホストベースのターミネーションと異なり、CodeSafe SSLでは、個人会員番号(PAN)やパスワードなどの慎重に扱うべきデータを、完全なエンドツーエンド暗号で保護することが可能です。

CodeSafe開発者用ツールキット

CodeSafeには、詳細なチュートリアルと参考文書類、およびサンプルのCodeSafeプログラムを含むCodeSafe開発者用ツールキットが必要です。

 

CipherTools開発者用ツールキット

CipherTools開発者用ツールキットを使用すれば、開発者は、HSMをカスタムアプリケーションに統合する際に、nShield HSMファミリが提供する先進的機能を十分活用できます。このツールキットにはチュートリアルと参考文書類、さまざまな高級言語で書かれたサンプルプログラム、およびビジネスアプリケーションとの統合化のための機能を拡張する追加バージョンのライブラリが含まれています。これらのライブラリは、標準的なアプリケーションプログラムインターフェース(API)によって実現可能な範囲を越える機能を提供します。

楕円曲線暗号(Elliptic Curve CryptographyECC)アクティベーション

nShield HSMは、標準機能セットの一部として、AES、DSA、およびRSAを含む数多くの暗号化アルゴリズムを提供します。楕円曲線暗号(ECC)を使用する場合は、ECCアクティベーションライセンスを購入できます。このオプションのアクティベーションライセンスは、すべてのnShield SoloモデルとConnectモデルにおけるECC操作を有効にします。ECCへの高い処理能力を必要とする場合は、さらに2つのnShieldモデルを使用することもできます。nShield Solo PCIe 6000+とnShield Connect 6000+のECC性能はハードウェアによって最適化されており、ECCアクティベーションライセンスがバンドルされています。

データベースセキュリティオプションパック

多くの場合、データベースには最も慎重に扱うべきデータが格納されています。したがって、主要なデータベースベンダーは、そのデータベースサーバー製品にネイティブの暗号機能を実装しています。nShieldデータベースセキュリティオプションパックは、Microsoftの拡張キー管理(Extensible Key Management:EKM)APIのサポートを追加します。このオプションパックは、透過的データ暗号化機能(Transparent Data Encryption:TDE)を利用してMicrosoft SQL Server 2008システム内にある、慎重に扱うべきデータの保護に使用する鍵の保護を強化できるほか、複数のデータベースやシステムに分散する鍵を管理し、鍵管理とデータベース管理を分離します。詳細情報 >>

Oracle 11g TDEのユーザーは、このオプションパック無しでこれらの機能を十分活用できます。詳細情報 >>

nShield用のpayShieldカード会員認証

クレジットカードやオンラインバンキングに関わる不正行為を防止するために、多くの金融機関が、カードの提示を伴わないトランザクション用の追加的なセキュリティ対策を実装しています。nShield用payShieldカード会員認証(payShield Cardholder Authentication for nShield)は、オンラインバンキングトランザクション用のチップとPIN (CAP)による認証や、「Verified by Visa (VISA認証サービス)」または「MasterCard SecureCode (マスターカードセキュアコード)」とも呼ばれる3-Dセキュアなど、さまざまな手段を通じてカード会員の認証を可能にすることにより、他のタレス決済製品を補完します。このオプションは、ActivIdentity、Arcot、Bell ID、およびGemaltoを含むカード会員認証ソリューションと統合できます。

 

鍵ローディングデバイス

一部の組織は、慎重に扱うべきデータをパートナー間や異なるベンダーのシステム間でセキュアに交換するために、鍵コンポーネントをインポートする方法を取っています。nShield鍵ローディングデバイスは、専用セキュアPINパッドの使用を通じて、nShield HSMに対称暗号鍵フラグメントをロードすることを可能にします。Key Loading Device使用時は、nShield用payShieldカード会員認証機能(payShield Cardholder Authentication for nShield)を使用する必要があります。

 

リモートオペレータ

HSMは通常、物理的にセキュアな完全自動データセンターで実行されますが、多くの場合、これらのデータセンターは冗長化されています。したがって、日常運用のためにHSMに物理的にアクセスすることは非現実的であると見なされるのが普通です。リモートオペレータは、ユーザーがそのワークステーションから直接、遠隔地にあるHSMへクレデンシャルをセキュアに提示できるようにすることで、時間を節約し、出張のためのコストを削減します。

KCDSAアクティベーション

国家安全保障への関わりの強い政府や企業の機密性が高い分野では、最も慎重に扱うべき情報を保護するために、独自開発の国内用暗号化アルゴリズムが好まれる場合があります。このようなセキュリティ上の懸念が存在する場合は、セキュアなHSMプラットフォーム上でこれらのアルゴリズムを実行する方が好都合です。KCDSAアクティベーションは、韓国の政府機関がnShield HSM上でKCDSA (Korean Certificate-based Digital Signature Algorithm)を使用することを可能にします。保護されたHSMプラットフォーム上でその国固有のアルゴリズムを実装したい場合には、ThalesのCodeSafe技術の利用を推奨します。

アクセサリ

nToken

HSMクライアントのセキュリティ強化を望む組織を対象としたnTokenは、nShield Connectなどのネットワーク接続されたHSMクライアントの強化された認証を可能にするPCIまたはPCI Express (PCIe)カードであり、クライアントへのなりすましを防止します。タレスでは、すでに3つのnTokenを含むHSMバンドルを提供しています。また、個別にクライアントライセンスを含む追加のnTokenを購入することも可能です。PCIタイプはフルハイトのカードで、PCI Expressタイプはロープロファイルのカードです。nTokensは仮想サーバーには使用できません。

 

交換用電源装置

nShield Connectでは、優れた事業継続性を実現するホットスワップ可能な二重電源を特長としています。タレスでは、ダウンタイムなしで故障部品をすぐに交換できるよう、nShield Connectの交換用電源装置(PSU)を提供しています。

 

交換用ファントレイ

現場で交換可能なファンもnShield Connectの特長です。ファンとバッテリーは、容易に交換可能なファントレイに装備されており、各々のファンを個別に交換することはできません。電源同様、ファンはHSMのセキュリティ境界外に設置されています。タレスの交換用ファントレイを使用すれば、ダウンタイムなしで直ちに故障部品を交換できます。

 

キーボード

nShield Connectの多くの機能はユニット前面のタッチホイールで簡単に実行できますが、一部の操作およびより効率的なモジュール設定には、キーボードが必要になることがあります。タレスでは、これらのタスク用にオプションのUSBキーボードを提供しています。キーボードが必要になるのは一部の操作だけなので、通常は1つのデータセンターサイトに1つのキーボードで十分です。標準的なUSBキーボードを使用することも可能です。

 

スライドレール

nShield Connectには、シェルフなしの19インチラックへの組み込み用にオプションのスライドレールを取り付けることができます。これによってハードウェアをより簡単に取り付けることが可能になり、サーバーラックをより効率的に利用することができます。他メーカーのパーツは取り付けられないことがあるので、ラックへの取付けにはこの純正スライドレールを使用することをお勧めします。スライドレールはペアで販売されています。つまり、このパーツコードは1つあたり2本のスライドレールで構成されています。この2本のスライドレールで1つのnShield Connectモジュールを取付けできます。

互換性一覧

nShield Solo
 FIPS 140-2
レベル2

nShield Solo
 FIPS 140-2
レベル3

nShield Edge

netHSM
(
旧型)

nShield Connect

CipherTools開発者用ソフトウェア

O

O

O

O

O

CodeSafe / SEEアクティベーション*

O

O

O

データベースセキュリティオプションパック

O

O

O

O

nShieldpayShieldカード会員認証*

O

O

O

payShield Key Loading Device

O

O

O

タイムスタンプオプションパック*

O

タイムスタンプ開発者用ソフトウェア

O

リモートオペレータアクティベーション

O

O

O

O

O

楕円曲線暗号(ECC)アクティベーション

O

O

O

O

O

KCDSAアクティベーション

O

O

O

O

O

nShieldスマートカードリーダラックマウント

O

O

追加クライアントライセンス

O

O

nToken

O

O

nShield Connect用交換電源装置

O

nShield Connect用交換ファントレイ

O

nShield Connect用キーボード

O

nShield Connect用スライドレール

O

S = 標準、O = オプション *1つのHSM上でこれらのCodeSafeアプリケーションを複数実行することはできません。

nShield Connectの仕様

対応する暗号化アルゴリズム:

  • 対称
    • AES (128、192、256ビット)
    • Aria (128、192、256ビット)
    • Camelia (128、192、256ビット)
    • トリプルDES(112、168ビット)
  • 非対称
    • RSA (1024、2048、4096、8192ビット)
    • Diffie-Hellman
    • DSA
    • ECCスイートB
  • ハッシング
    • SHA-1、SHA-2 (224、256、384、512ビット)

認定:

  • FIPS 140-2 レベル3
  • Common Criteria EAL 4+
  • UL、CE、FCC
  • RoHS、WEEE

対応するオペレーティングシステム:

  • Windows
  • Linux
  • Solaris
  • IBM AIX
  • HP-UX
  • VMware
  • Hyper-V
  • AIX LPARs

対応するAPI:

  • PKCS#11
  • Open SSL
  • Java (JCE)
  • Microsoft CAPI、CNG

これらのAPIを利用しており、タレス、タレスのパートナーやその共通のお客様によってテスト済みのアプリケーションは以下の通りです(一部)。

  • Aconite Affina
  • ActivIdentity Card Management System、4Tress、Validations Authority
  • Apache
  • Axway Validation Authority
  • Bell ID Token Manager、EMV Data Preparation
  • CA Application Performance Manager
  • CyberArk Digital Vault
  • EfficientIP SolidServer
  • Entrust Authority Security Manager
  • IBM Tivoli Access Manager、Websphere
  • Imperva SecureSphere
  • Infoblox IPAM Appliance
  • Intercede MyID
  • ISC BIND
  • Lieberman Software Enterprise Random Password Manager
  • Keynectis OpenTrust PKI
  • McAfee Iron Mail, Web Gateway
  • Microsoft Active Directory Federated Services (ADFS)、Active Directory Certificate Services (ADCS)、Forefront Identity Manager (FIM)、Internet Services Accelerator (ISA)、Rights Management Services (RMS)、Internet Information Services (IIS)、BizTalk Server、Authenticode、Hyper-V、SQL Server、Mediaroom
  • nuBridges Protect
  • Oracle Database Transparent Data Encryption (TDE)-Real Application Clustering (RAC) Real User Experience Insight (RUEI)、Wallet Manager、Weblogic Serverも使用。
  • PingIdentity PingFederate
  • PrimeKey EJBCA
  • Protegrity Data Security Platform
  • Red Hat Certificate System
  • Riverbed Stingray
  • RSA Certificate Manager, Data Protection Manager
  • Totemo Trustmail
  • Vasco Vacman
  • Verisec Hnossa
Voltage SecureData

nShield Connect 製品データシート

nShield Connect

Related Products