Data Security and Key Management - Thales e-Security

nShield Solo

nShield Solo
 
 

nShield Solo

コスト効率の高い、サーバー組込み型HSM

FIPS 140-2   Common Criteria

Thales e-SecurityのnShield Soloは高いコスト効率と保証性を兼ね備えたセキュリティソリューションで、スタンドアロンのサーバーやアプライアンスへの組込み用に設計されたPCI、またはPCIeカードとして提供されます。このサーバー組込み型のハードウェアセキュリティモジュール(HSM)は暗号専用のオフロードと高速化の能力を備えており、極めて厳しい性能要求を満たしています。nShield Soloは、ソフトウェアベースの暗号では不十分な状況にも対応できる専用の物理的および論理的制御機能を備えています。また、Security Worldアーキテクチャを採用しているので、高い保証性と使いやすさの理想的な組み合わせを実現します。これにより、デュアルコントロールなどのセキュリティポリシの決定と実施がさらに容易になり、負担もリスクも大きい管理業務を自動化することもできます。

nShield Soloは他のnShield HSMファミリと完全に互換しているため、性能要件の拡大に合わせて容易に他のHSMを混在させたり、他のHSMに移行したりすることができます。第三者機関によって証明されたこのセキュリティプラットフォームは、高性能楕円曲線暗号(ECC)用に最適化されたモデルも含め、さまざまな市販ビジネスアプリケーションやカスタムビルドのビジネスアプリケーションのために暗号化やデジタル署名などの鍵管理と暗号操作を実行し、公開鍵インフラストラクチャ(Public Key Infrastructures:PKI)、アイデンティティ管理システム、データベース、インターネット網、DNSセキュリティ拡張機能(Domain Name System Security Extension:DNSSEC)の実装、およびコード署名を含む重要なシステムを保護します。nShield Soloはセキュリティアプリケーション内で使用するのにも最適で、FIPS等級のセキュリティ強化を実現します。nShield Soloファミリのセキュリティ境界は、FIPS 140-2レベル3およびコモンクライテリアEAL4+までの認定を取得しています。

nShield Soloの利点

  • HSMがソフトウェアベース暗号の持つ本質的な脆弱性を解決します。
  • 強力な鍵管理アーキテクチャが、コンプライアンス報告を含む運用コストを最小限に抑えます。
  • 性能の向上に特化した組込み型の形状です。
  • 重要なセキュリティ機能を分離して、ITの相互依存性を最小限に抑えます。
  • 保証性に関する要求が厳しいアプライアンスベンダー用に、FIPS 140-2証明を取得しています。

    nShield Soloの特徴

    セキュリティ関連

    ハードウェアセキュリティモジュール(HSM)の主な目的は、HSMを使用しない場合はソフトウェアアプリケーションやオペレーティングシステム、あるいは保護されていないサーバーハードウェアによって行われる暗号操作のセキュリティを強化することにあります。これらHSM以外による方法の大部分は、データ漏洩、不適切な構成設定、改ざんなどに対して脆弱です。この追加的な保護は、多層アプローチによって組み合わされた複数の実績ある技術を使用することによって実現されます。これらの技術には以下のものが含まれます。

    物理的セキュリティ対策

    • 暗号プロセスと鍵をアプリケーションとホストオペレーティングシステムから隔離し、厳密に管理された暗号APIからのアクセスのみを可能にするカードベースの専用セキュリティモジュール(PCIまたはPCIeの形状)。
    • CodeSafe機能の使用を通じて、セキュリティにとってクリティカルなアプリケーションコード部分をホストから移し、HSMの物理的セキュリティによって保護された耐タンパのアプリケーション「サンドボックス」内でそのコードをセキュアに実行するオプション機能。
    • プロービングによる攻撃から内部回路を保護するためのエポキシポッティングの使用を含む、物理的攻撃防止用の特注ハードウェア
    • 電源および温度の完全性を含む環境条件の監視による攻撃の可能性の検知。

    論理的セキュリティ対策

    • HSMに直接アクセスするすべての管理者とユーザーは、HSM自体が発行して管理するスマートカードを使用して厳密に個別認証されるため、パスワードに依存する必要がなくなります。パスワードは他のシステム内で管理されたり他のアプリケーションに使用されたりすることもあり、脆弱な上に共有されることも少なくありません。
    • アプリケーションの「スーパーユーザー」またはルート相当の管理者が広範な権限を有するソフトウェアベースのシステムとは対照的に、HSM管理者とHSMで保護している鍵の使用を承認する鍵管理者とを区別して、役割を明確に分離します。
    • 鍵回復など、特に慎重に扱うべきタスクを実行するための一定数の人数を要求する設定として、操作に複数の管理者やオペレータが必要となるデュアルコントロール。この相互監視のためのアプローチは、悪意ある内部関係者の脅威を最小限に抑えるための方法として一般的なものであり、構成設定の自由度が高く、HSM内で厳密に実行されます。
    • CodeSafeによって保護されたアプリケーションに対する強力な完全性評価とポリシの実行(オプション)。

    運用関連

    過去においては、高度なセキュリティ機能は扱いにくい傾向にあり、余分な労力が求められる上に性能への影響もありました。結果として、管理者は、セキュリティと性能および効率との間で不本意なトレードオフを行なわざるを得ませんでした。nShieldファミリのHSMとそのSecurity World鍵管理アーキテクチャは、数多くの重要な鍵管理タスクを自動化し、キャパシティや性能に関する制約を無くすことによって、セキュリティと便利さの両方を同時に実現します。これらの特徴には以下のようなものがあります。

    • 既存データのバックアップ、レプリケーション、およびファイル共有などの手法を利用して、安全かつ自動的にアプリケーション鍵の共有、配布、およびバックアップを行なう強力な機能。コストのかかるHSM固有の方法を確立する必要性を最小限に抑えることによって、HSMの導入および管理のタスクを大幅に単純化します。
    • 最大限に幅広いアプリケーションとシステムをサポートするための標準アプリケーションインターフェースと、導入リスクを最小限に抑えるための最先端アプリケーションベンダーとの広範な事前テストプログラム。
    • ホストCPUからリソース集約的な動作を無くし、全体性能を向上させて最大限のキャパシティを実現する暗号処理の高速化とオフロード。
    • 保護する鍵のストレージに容量制限が無く、全体的なスケーラビリティが向上。
    • 専用ハードウェアや、コストのかかるバックアップ用HSMへの鍵保存の必要性を排したバックアップ手法。
    • 単一ホスト内またはホストマシンのグループ内にある複数のHSMを統合して、ロードバランシングとフェイルオーバーの機能を備えた障害回復性の高いリソースプールを構築可能。
    • 鍵管理者およびシステム管理者がセキュアな形で業務を実行し、コストを削減して不便さを減らすことができる遠隔制御。
    • CodeSafeで保護されたアプリケーションのリモートプロビジョニング(オプション)。

    nShield Soloのオプションとアクセサリ


    クイックリンク

    開発者用ソフトウェアとオプション

    アクセサリ


    開発者用ソフトウェアとオプション

    形状

    nShield SoloはPCIおよびPCIeのインタフェースカードとして提供されます。

    性能

    nShield Soloにはその性能に応じて500、2000、4000、6000の4種類があります。これらの数字は、1024ビットRSA署名の場合の1秒あたりのトランザクション数を表しています。さらに、PCIe 6000+モデルは、高パフォーマンスでの楕円曲線暗号(ECC)用に最適化されています。詳しい性能データについてはnShield Soloのデータシートをご覧ください。

    証明

    nShield Soloには、FIPS 140-2レベル2対応型とFIPS 140-2レベル3対応型の2つのタイプがあります。

    CipherTools開発者用ツールキット

    CipherTools開発者用ツールキットを使用すれば、HSMを既存のアプリケーションに統合する際に、nShield HSMファミリが提供する先進的機能を十分に活用できます。このツールキットには、チュートリアルと参考文書類、さまざまな高級言語で書かれたサンプルプログラム、およびビジネスアプリケーションとの統合化のための機能を拡張する追加バージョンのライブラリが含まれています。これらのライブラリは、標準的なアプリケーションプログラムインターフェース(API)によって実現可能な範囲を越える機能を提供します。

    CodeSafe 

    CodeSafeを使用すれば、アプリケーション開発者はnShield HSMの証明された環境にセキュアにロードされるプログラムを記述して、ホストシステム上での内部関係者による攻撃、マルウェア、トロイの木馬などからそれらのプログラムを保護できます。CodeSafeには、仮想のセキュアな安全実行環境でコードをチェックできる「グラスボックス」設定があります。セキュリティは、運用の秘密性保持ではなくアクセス制御に依存するので、アプリケーションコードの完全性を損なうことなくデバッグを行うことが可能です。セキュアな実行能力はセキュリティ機能を強化し、プライベート鍵や不揮発性ユーザーメモリー、ハードウェアによってセキュリティが確保された時間など、デバイス上で保護されているセキュリティ上クリティカルなリソースの使用に関して、きめ細かいアクセス制御や許可を行うことを可能にします。例としては、デジタルメーター、認証エージェント、タイムスタンプ、監査ロガー、デジタル署名エージェント、カスタム暗号化プロセスなどがあります。CodeSafeを使用できるのは、FIPS 140-2レベル3の認定を受けたnShield Solo HSMに限られます(FIPS 140-2レベル2の認定を受けたnShield Solo HSMには使用できません)。

     

     

     

     
     CodeSafe
    アクティベーション

    CodeSafeを使用する場合は、開発者1名につき1つのCodeSafe開発者用ソフトウェアライセンスと、コードを実行するHSM1台ごとに1つのCodeSafeアクティベーションライセンスが必要です。

     

     
    CodeSafe SSL 
    アクティベーション

    オプションのCodeSafe SSLアクティベーション機能は、nShield Solo内で暗号化SSLセッションを終端することを可能とします。そしてHSMで実行中のアプリケーション用にデータを再暗号化するので、平文データがホストサーバー上にさらされてしまうことはありません。標準的なSSLホストベースの終端では、慎重に扱うべき平文データが無防備な状態でさらされてしまいますが、これと異なりCodeSafe SSLでは、慎重な扱いが必要で電子商取引に不可欠な個人会員番号(PAN)や暗証番号(PIN)を、完全なエンドツーエンド暗号によってシステム全体に配布できるようにします。

    楕円曲線暗号(Elliptic Curve CryptographyECC)アクティベーション

    nShield HSMは、標準機能セットの一部として、AES、DSA、およびRSAを含む数多くの暗号化アルゴリズムを提供します。楕円曲線暗号(ECC)を使用する場合は、ECCアクティベーションライセンスを購入できます。このオプションのアクティベーションライセンスは、すべてのnShield SoloモデルとConnectモデルにおけるECC運用を有効にします。ECCへの高い処理能力を必要とする場合は、さらに2つのnShieldモデルを使用することもできます。nShield Solo PCIe 6000+とnShield Connect 6000+のECC性能はハードウェアによって最適化されており、ECCアクティベーションライセンスがバンドルされています。

    データベースセキュリティオプションパック

    多くの場合、データベースには最も慎重に扱うべきデータが格納されています。したがって、主要なデータベースベンダーは、そのデータベースサーバー製品にネイティブの暗号機能を実装しています。データベースセキュリティオプションパックは、Microsoftの拡張キー管理(Extensible Key Management:EKM)のサポートを追加します。このオプションパックは、Microsoft SQL Server 2008内の、慎重に扱うべきデータの保護に使用する鍵の保護強化を可能にするほか、複数のデータベースやシステムに分散する鍵を管理し、セキュリティとデータベース管理を分離します。Oracle 11gのユーザーは、オプションパック無しでこれらの機能を十分活用できます。

    タイムスタンプオプションパック

    セキュアなタイムスタンプは、ある特定の時間に特定のデータが存在したこと、およびその時点からデータが操作されていないことを確認する助けとなります。これは、デジタルアーカイブ、公開鍵インフラストラクチャ、コード署名、公証サービス、特許申請、抽選、賭けやゲームを含むアプリケーションにとって極めて重要です。タレスのTime Stamp Serverは、そのままの状態ですぐに使用できるタイムスタンプソリューションを必要とする組織を対象としたソリューションです。OEMソリューションを探している場合や、タイムスタンプとほかのHSM機能を組み合わせる場合は、タイムスタンプオプションパックを使用すれば、nShield Solo  500の機能を強化して標準タイムスタンプを使用することができます。タイムスタンプオプションパックを使用できるのは、FIPS 140-2レベル3の認定を受けたnShield Solo HSMに限られます(FIPS 140-2レベル2の認定を受けたnShield Solo HSMには使用できません)。カスタムアプリケーションにタイムスタンプ機能を追加する場合は、タイムスタンプ開発者用ソフトウェアが役に立ちます。

     

     

     

     

     
     タイムスタンプ開発者用ツールキット

    タイムスタンプ開発者用ツールキットは使いやすいAPIで、Time Stamp Server、またはnShield HSMとタイムスタンプオプションパックを使用するサーバーからのタイムスタンプを、アプリケーションから要求したり確認したりすることができます。これを使用できるのは、FIPS 140-2レベル3の認定を受けたnShield Solo HSMに限られます(FIPS 140-2レベル2の認定を受けたnShield Solo HSMには使用できません)。

    nShieldpayShieldカード会員認証

    クレジットカードやオンラインバンキングに関わる不正行為を防止するために、多くの金融機関が、カードの提示を伴わないトランザクション用の追加的なセキュリティ対策を実装しています。nShield用payShieldカード会員認証(payShield Cardholder Authentication for nShield)は、オンラインバンキングトランザクション用のチップとPIN(CAP)による認証や、「Verified by Visa(VISA認証サービス)」または「MasterCard SecureCode(マスターカードセキュアコード)」とも呼ばれる3-Dセキュアなど、さまざまな手段を通じてカード会員の認証を可能にすることにより、他のタレス決済製品を補完します。このオプションは、ActivIdentity、Arcot、Bell ID、およびGemaltoを含むカード会員認証ソリューションと統合できます。要求がより高度な場合は、payShield開発者用ソフトウェアを使用してカスタムソリューションを作成することも可能です。nShield用payShieldカード会員認証(payShield Cardholder Authentication for nShield)を使用できるのは、FIPS 140-2レベル3の認定を受けたnShield Solo HSMに限られます(FIPS 140-2レベル2の認定を受けたnShield Solo HSMには使用できません)。

     

     

     

     

     
     Key Loading Device

    鍵がセキュアなプラットフォームから離れることがないようにするために、通常、鍵はHSM内で生成されます。しかし、取引先から不正開封防止機能を持つ電子封筒で鍵を受け取ったり、慎重に扱うべきデータを、異なるベンダーのシステム間でセキュアに交換したりしなければならない場合もあります。Key Loading Deviceを使用すれば、対称暗号鍵フラグメントをPINバッドに入力して、それをnShield HSMで読み取り可能なスマートカードにロードすることによって、nShield HSM内にその鍵フラグメントをロードすることができます。Key Loading Device使用時は、nShield用payShieldカード会員認証機能(payShield  Cardholder Authentication for nShield)を使用する必要があります。

    リモートオペレータ

    通常、HSMは物理的にセキュアな完全自動データセンターで実行されますが、多くの場合、これらのデータセンターは冗長化されています。したがって、日常運用のためにHSMに物理的にアクセスすることは非現実的であると見なされるのが普通です。リモートオペレータは、ユーザーがそのワークステーションから直接、遠隔地にあるHSMへクレデンシャルをセキュアに提示できるようにすることで、時間を節約し、出張のためのコストを削減します。

    KCDSAアクティベーション

    国家安全保障への関わりの強い政府や企業の機密性が高い分野では、最も慎重に扱うべき情報を保護するために、独自開発の国内用暗号化アルゴリズムが好まれる場合があります。このようなセキュリティ上の懸念が存在する場合は、セキュアなHSMプラットフォーム上でこれらのアルゴリズムを実行する方が好都合です。KCDSAアクティベーションは、韓国の政府機関がnShield HSM上でKCDSA (Korean Certificate-based Digital Signature Algorithm)を使用することを可能にします。保護されたHSMプラットフォーム上でその国固有のアルゴリズムを実装したい場合には、ThalesのCodeSafe技術の利用を推奨します。

     

    アクセサリ

    スマートカードリーダラックマウント

    19インチラック内に1台以上のnShield Soloモジュールを展開する場合は、オプションのnShieldスマートカードリーダラックマウントを使用すれば、実用的かつ整然とした形でデータセンターにカードリーダを取り付けることができます。nShieldスマートカードリーダラックマウントの高さは1Uで、nShield Soloカードに標準で付属しているスマートカードリーダを4台まで取り付けることができます。各ユニットは、未使用スロットを3枚のブランキングプレートで塞いだ状態で出荷されます。

     

    nShield Solo
    FIPS 140-2
    レベル2

    nShield Solo
    FIPS 140-2
    レベル3

    nShield Edge

    netHSM
    (
    旧型)

    nShield Connect

    CipherTools開発者用ソフトウェア

    O

    O

    O

    O

    O

    CodeSafe / SEEアクティベーション*

    O

    O

    O

    データベースセキュリティオプションパック

    O

    O

     

    O

    O

    nShieldpayShieldカード会員認証*

    O

    O

    O

    payShield鍵ローディングデバイス 

    O

    O

    O

    タイムスタンプオプションパック*

    O

    タイムスタンプ開発者用ソフトウェア

    O

    リモートオペレータアクティベーション

    O

    O

    O

    O

    O

    楕円曲線暗号(ECC)アクティベーション

    O

    O

    O

    O

    O

    KCDSAアクティベーション

    O

    O

    O

    O

    O

    nShieldスマートカードリーダラックマウント

    O

    O

    追加クライアントライセンス

    O

    O

    nToken 

    O

    O

    nShield Connect用交換電源装置

    O

    nShield Connect用交換ファントレイ

    O

    nShield Connect用キーボード

    O

    nShield Connect用スライドレール

    O

    S = 標準、O = オプション

    *1つのHSM上でこれらのCodeSafeアプリケーションを複数実行することはできません。

    nShield Soloの仕様

    対応する暗号化アルゴリズム:

    • 対称
      • AES (128、192、256ビット)
      • Aria (128、192、256ビット)
      • Camelia (128、192、256ビット)
      • トリプルDES (112、168ビット)
    • 非対称
      • RSA (1024、2048、4096、8192ビット)
      • Diffie-Hellman
      • DSA
      • ECCスイートB
    • ハッシング
      • SHA-1、SHA-2 (224、256、384、512ビット)

    認定:

    • FIPS 140-2 レベル3
    • Common Criteria EAL 4+
    • UL、CE、FCC
    • RoHS、WEEE

    対応するオペレーティングシステム:

    • Windows
    • Linux
    • Solaris
    • IBM AIX
    • HP-UX
    • AIX LPARs

    対応するAPI

    • PKCS#11
    • Open SSL
    • Java (JCE)
    • Microsoft CAPI、CNG

    これらのAPIを利用する、タレスのパートナーやお客様によってテスト済みのアプリケーションは以下の通りです(一部)。

    • Aconite Affina
    • ActivIdentity Card Management System、4Tress、Validations Authority
    • Apache
    • Axway Validation Authority
    • Bell ID Token Manager、EMV Data Preparation
    • CA Application Performance Manager
    • CyberArk Digital Vault
    • EfficientIP SolidServer
    • Entrust Authority Security Manager
    • IBM Tivoli Access Manager、Websphere
    • Imperva SecureSphere
    • Infoblox IPAM Appliance
    • Intercede MyID
    • ISC BIND
    • Lieberman Software Enterprise Random Password Manager
    • Keynectis OpenTrust PKI
    • McAfee Iron Mail, Web Gateway
    • Microsoft Active Directory Federated Services (ADFS)、Active Directory Certificate Services (ADCS)、Forefront Identity Manager (FIM)、Internet Services Accelerator (ISA)、Rights Management Services (RMS)、Internet Information Services (IIS)、BizTalk Server、Authenticode、Hyper-V、SQL Server、Mediaroom
    • nuBridges Protect
    • Oracle Database Transparent Data Encryption (TDE)-Real Application Clustering (RAC)、Real User Experience Insight (RUEI)、Wallet Manager、Weblogic Serverも使用。
    • PingIdentity PingFederate
    • PrimeKey EJBCA
    • Protegrity Data Security Platform
    • Red Hat Certificate System
    • Riverbed Stingray
    • RSA Certificate Manager, Data Protection Manager
    • Totemo Trustmail
    • Vasco Vacman
    • Verisec Hnossa
    • Voltage SecureData

    nShield Solo 製品データシート

    nShield Solo

    Related Products