Data Security and Key Management - Thales e-Security

nShield Edge

Edge

 

nShield Edge


セキュアでフレキシブルな持ち運び可能なUSB接続型HSM

FIPS 140-2

Thales e-SecurityのnShield EdgeはUSB接続型のハードウェアセキュリティモジュール(HSM)で、信頼性の高い暗号を優れたコスト効率で実装できます。その携帯性とUSB接続方式によって、nShield Edgeはラップトップやワークステーション、あるいはデスクトップ環境に特に適したものとなっています。コンパクトでありながらあらゆる機能を備えたこのHSMには、スマートカードリーダも組み込まれているため、スペースが限られている場合や、HSMの使用頻度がそれほど高くない環境に最適です。タレスのSecurity World鍵管理アーキテクチャに全面的に対応したnShield Edgeは、高い保証性と使いやすさの理想的な組み合わせを実現します。これにより、デュアルコントロールなどのセキュリティポリシの決定と実施がより容易になり、負担もリスクも大きい管理業務を自動化できます。

nShield Edgeは他のnShield HSMファミリと完全に互換しているため、性能要件の拡大に合わせて容易に他のHSMを混在させたり、他のHSMに移行させたりすることができます。第三者機関によって証明されたこのセキュリティプラットフォームは、さまざまな市販ビジネスアプリケーションやカスタムビルドのビジネスアプリケーションに加えて、公開鍵インフラストラクチャ(PKI)のオフライン認証局(CA)、コード署名、およびリモートHSM管理を含む重要なセキュリティシステムのために、暗号化やデジタル署名などの鍵管理と暗号操作を実行します。nShield Edgeのセキュリティ境界は、FIPS 140-2レベル3までの認定を取得しています。

nShield Edgeの利点

  • HSMがソフトウェアベース暗号の持つ本質的な脆弱性を解決します。
  • 強力な鍵管理アーキテクチャがコンプライアンス報告を含む運用コストを最小限に抑えます。
  • あらゆる展開シナリオに適した小型で携帯可能な形状となっています。
  • 広範囲でのHSMの使用を想定したビジネスケースを推進する最も低コストのプラットフォームです。
  • より広範なHSM展開のための入り口となるHSM、またはそのための開発ツールとなります。

nShield Edgeの特徴

セキュリティ関連

ハードウェアセキュリティモジュール(HSM)の主な目的は、HSMを使用しない場合はソフトウェアアプリケーションやオペレーティングシステム、あるいは保護されていないサーバーハードウェアによって行われる暗号操作のセキュリティを強化することにあります。これらHSM以外による方法の大部分は、データ漏洩、不適切な構成設定、改ざんなどに対して脆弱です。この追加的な保護は、多層アプローチによって組み合わされた複数の実績ある技術を使用することによって実現されます。これらの技術には以下のものが含まれます。                   

物理的セキュリティ対策

  • 暗号プロセスと鍵をアプリケーションとホストオペレーティングシステムから隔離し、厳密に管理された暗号APIからのアクセスのみを可能にするための専用携帯デバイス。
  • プロービングによる攻撃から内部回路を保護するためのエポキシポッティングや、デバイスへの直接的な不正操作を検知するためのセキュリティラベルを含む、物理的攻撃防止用の特注ハードウェア。
  • 電源および温度の完全性を含む環境条件の監視による攻撃の可能性の検知。

論理的セキュリティ対策

  • HSMに直接アクセスするすべての管理者とユーザーは、HSM自体が発行して管理するスマートカードを使用して厳密に個別認証されるため、パスワードに依存する必要がなくなります。パスワードは他のシステム内で管理されたり他のアプリケーションに使用されたりすることもあり、脆弱な上に共有されることも少なくありません。
  • アプリケーションの「スーパーユーザー」またはルート相当の管理者が広範な権限を有するソフトウェアベースのシステムとは対照的に、HSM管理者とHSMで保護している鍵の使用を承認する鍵管理者とを区別して、役割を明確に分離します。
  • 鍵回復など、特に慎重に扱うべきタスクを実行するために一定の人数を要求する設定として、操作に複数の管理者やオペレータが必要となるデュアルコントロール。この相互監視のためのアプローチは、悪意ある内部関係者の脅威を最小限に抑えるための方法として一般的なものであり、構成設定の自由度が高く、HSM内で厳密に実行されます。

運用関連

過去においては、高度なセキュリティ機能は扱いにくい傾向にあり、余分な労力が求められる上に性能への影響もありました。結果として、管理者は、セキュリティと性能および効率との間で不本意なトレードオフを行なわざるを得ませんでした。nShieldファミリのHSMとそのSecurity World鍵管理アーキテクチャは、数多くの重要な鍵管理タスクを自動化し、キャパシティや性能に関する制約を無くすことによって、セキュリティと便利さの両方を同時に実現します。これらの特徴には以下のようなものがあります。

  • 既存データのバックアップ、レプリケーション、およびファイル共有などの手法を利用して、安全かつ自動的にアプリケーション鍵の共有、配布、およびバックアップを行なう強力な機能。コストのかかるHSM固有の方法を確立する必要性を最小限に抑えることによって、HSMの導入および管理のタスクを大幅に単純化します。
  • 最大限に幅広いアプリケーションとシステムをサポートするための標準アプリケーションインターフェースと、導入リスクを最小限に抑えるための最先端アプリケーションベンダーとの広範な事前テストプログラム。
  • 保護する鍵のストレージに容量制限が無く、全体的なスケーラビリティが向上。
  • 専用ハードウェアや、コストのかかるバックアップ用HSMへの鍵保存の必要性を排したバックアップ手法。
  • ラップトップやその他のポータブルデバイスを含むさまざまなホストプラットフォームに対応した便利なUSBインターフェース。

nShield Edgeのオプション


クイックリンク


証明

nShield Edgeには、FIPS 140-2レベル2対応型とFIPS 140-2レベル3対応型の2つのタイプがあります。FIPS非対応の開発者用エディションも用意されています。これにより、最終的にはFIPSによる証明を受けたnShield SoloまたはConnectデバイスで導入されるアプリケーションで、開発環境ではこれらの高性能デバイスを必要としないソリューションを開発するエンジニアに、低コストのメカニズムが提供されます。

CipherTools開発者用ツールキット

CipherTools開発者用ツールキットを使用すれば、HSMを既存の開発アプリケーションに統合する際に、nShield HSMファミリが提供する先進的機能を十分に活用できます。このツールキットには、チュートリアルと参考文書類、さまざまな高級言語で書かれたサンプルプログラム、およびビジネスアプリケーションとの統合化のための機能を拡張する追加バージョンのライブラリが含まれています。これらのライブラリは、標準的なアプリケーションプログラムインターフェース(API)によって実現可能な範囲を越える機能を提供します。

楕円曲線暗号(Elliptic Curve CryptographyECC)アクティベーション

nShield HSMは、標準機能セットの一部として、AES、DSA、およびRSAを含む数多くの暗号化アルゴリズムを提供します。次世代楕円曲線アルゴリズムを十分に活用する場合は、楕円曲線暗号(ECC)アクティベーションを追加することによって、使用しているHSMの性能を向上させることができます。すべてのnShield HSMはこのオプションパックを使用して楕円曲線暗号を処理できますが、nShield 500 PCIカードのユーザーは、さらにハードウェアアクセラレーションの利点を生かすことができます。

リモートオペレータ

HSMは通常、物理的にセキュアな完全自動データセンターで実行されますが、多くの場合、これらのデータセンターは冗長化されています。したがって、日常運用のためにHSMに物理的にアクセスすることは非現実的であると見なされるのが普通です。リモートオペレータは、ユーザーがそのワークステーションから直接、遠隔地にあるHSMへクレデンシャルをセキュアに提示できるようにすることで、時間を節約し、出張のためのコストを削減します。

KCDSAアクティベーション

国家安全保障への関わりの強い政府および企業の機密性の高い分野では、最も慎重に扱うべき情報を保護するために、独自開発の国内用暗号化アルゴリズムが好まれる場合があります。このようなセキュリティ上の懸念が存在する場合は、これらのアルゴリズムをセキュアなHSMプラットフォーム上で実行する方が好都合です。KCDSAアクティベーションによって、韓国の政府機関はnShield HSM上でKCDSA(Korean Certificate-based Digital Signature Algorithm)を使用できるようになります。

互換性一覧

nShield Solo FIPS 140-2
レベル2

nShield Solo FIPS 140-2
レベル3

nShield Edge

netHSM
(
旧型)

nShield Connect

CipherTools開発者用ソフトウェア

O

O

O

O

O

CodeSafe / SEEアクティベーション*

O

O

O

データベースセキュリティオプションパック

O

O

 

O

O

nShieldpayShieldカード会員認証*

O

O

O

payShield鍵ローディングデバイス 

O

O

O

タイムスタンプオプションパック*

O

タイムスタンプ開発者用ソフトウェア

O

リモートオペレータアクティベーション

O

O

O

O

O

楕円曲線暗号(ECC)アクティベーション

O

O

O

O

O

KCDSAアクティベーション

O

O

O

O

O

nShieldスマートカードリーダラックマウント

O

O

追加クライアントライセンス

O

O

nToken 

O

O

nShield Connect用交換電源装置

O

nShield Connect用交換ファントレイ

O

nShield Connect用キーボード

O

nShield Connect用スライドレール

O

S = 標準、O = オプション

*1つのHSM上でこれらのCodeSafeアプリケーションを複数実行することはできません。

nShield Edgeの仕様

対応する暗号化アルゴリズム:

  • 対称
    • AES(128、192、256ビット)
    • Aria(128、192、256ビット)
    • Camelia(128、192、256ビット)
    • トリプルDES(112、168ビット)
  • 非対称
    • RSA(1024、2048、4096、8192ビット)
    • Diffie-Hellmann
    • DSA
    • ECCスイートB
  • ハッシング
    • SHA-1、SHA-2(224、256、384、512ビット)

認定:

  • FIPS 140-2 レベル2および3
  • UL、CE、FCC
  • RoHS、WEEE

対応するオペレーティングシステム:

  • Windows 2008、2008 R2、XP、Vista、7

対応するAPI

  • PKCS#11
  • Open SSL
  • JAVA(JCE)
  • Microsoft CAPI、CNG

これらのAPIを利用しており、タレスのパートナーやお客様によってテスト済みのアプリケーションは以下の通りです(一部)。

  • Aconite Affina
  • ActivIdentity Card Management System、4Tress、Validations Authority
  • Apache
  • Axway Validation Authority
  • Bell ID Token Manager、EMV Data Preparation
  • CA Application Performance Manager
  • CyberArk Digital Vault
  • EfficientIP SolidServer
  • Entrust Authority Security Manager
  • IBM Tivoli Access Manager、Websphere
  • Imperva SecureSphere
  • Infoblox IPAM Appliance
  • Intercede MyID
  • ISC BIND
  • Lieberman Software Enterprise Random Password Manager
  • Keynectis OpenTrust PKI
  • McAfee Iron Mail, Web Gateway
  • Microsoft Active Directory Federated Services(ADFS)、Active Directory Certificate Services(ADCS)、Forefront Identity Manager(FIM)、Internet Services Accelerator(ISA)、Rights Management Services(RMS)、Internet Information Services(IIS)、BizTalk Server、Authenticode、Hyper-V、SQL Server、Mediaroom
  • nuBridges Protect
  • Oracle Database Transparent Data Encryption(TDE)-Real Application Clustering(RAC)、Real User Experience Insight(RUEI)、Wallet Manager、Weblogic Serverも使用。
  • PingIdentity PingFederate
  • PrimeKey EJBCA
  • Protegrity Data Security Platform
  • Red Hat Certificate System
  • Riverbed Stingray
  • RSA Certificate Manager, Data Protection Manager
  • Totemo Trustmail
  • Vasco Vacman
  • Verisec Hnossa
  • Voltage SecureData

nShieldEdge製品データシート

nShield Edge

Related Products