nShield HSMのクラウド化ソリューション
昨今、SaaS、PaaSなどのas a serviceとしてのクラウドサービスが増えてきました。
「クラウドファースト」として、多くの企業がITインフラをクラウドへ移行しており、オンプレミス環境で構築する時代は終わったといっても過言ではありません。クラウド化によって、クラウドサービスプロバイダーが提供する拡張性や柔軟性、運用保守負荷の軽減など多くのメリットを享受できます。HSMも同様に、クラウドサービスとしてas a serviceされる時代がやってきました。
■概要
nShield as a Service(nSaaS)を利用することで、これまでオンプレミス環境で使っていたnShield HSM各種機能をクラウド環境でそのまま使うことができます。鍵管理だけでなく、有償オプションであるCodesafe/SEEやnSCOP等の機能も同じ様に提供されます。
nSaaSではFIPS140-2レベル3の認定を受けたnShield Connect HSMが利用されており、CSA STAR認証(Cloud Security Alliance Security Trust Assurance and Risk)を受けたメーカ管理下の安全なデータセンター内に設置されています。nSaaSを利用することで、ユーザーはオンプレ環境や利用しているクラウド環境からいつでもHSM内の暗号鍵へアクセスすることができます。
nSaaSには、HSMや鍵管理システム(セキュリティワールド)の運用をメーカへ全てお任せする「フルマネージド型nSaaS」、HSMの運用のみをメーカへお任せしそれ以外はユーザー自身で管理する「セルフマネージド型nSaaS」の2種類のタイプがあります。ユーザー要件に合わせて自由に選択できます。
■利用イメージ
セルフマネージド型nSaasは上側(紫色の箇所)、フルマネージド型nSaaSは下側(赤色の箇所)を示しています。フルマネージド型はHSMや鍵管理システム(セキュリティワールド)、ACS(管理者用カード)の運用保守、ユーザーからの依頼に基づくHSMの設定変更などほぼ全ての作業を信頼できるメーカースタッフが実施してくれます。
一方で、セルフマネージド型nSaaSの場合、メーカースタッフはHSMのメンテナンス(HSM故障時の保守、監視サービス、ファームウェアのアップグレード等)のみ実施します。ユーザーは、HSMをリモートでアクセスできる様に専用の端末を準備し、専用のカードリーダ(TVD)を使って、ユーザー自身が鍵管理システム(セキュリティワールド)を管理します。これらのnShieldのリモート管理キットを使って、いつでも好きなタイミングでnShieldへアクセスできます。
■特徴
・オンプレ環境のnShield HSMで行っていたことをクラウド上のnShield HSMで継続利用できます。
・HSMが性能限界に陥った場合でも、パフォーマンスを拡張できるオプションも用意されています。
・クラウド事業者が提供するHSMサービスでは、そのクラウド環境の利用に縛られる可能性があります。nSaaSを利用することで、クラウド事業者に依存せずに複数のクラウド環境のアプリと連携できます。
・Google Cloud, AWS, Microsoft Azure, Alibaba CloudなどのVM環境から利用可能です。
■技術仕様
|
機能 \ 種類 |
Basic |
Standard |
Premium |
Enterprise |
|
パフォーマンス (RSA2048bitを使った署名処理/秒) |
150tps |
450tps |
3000tps |
16000tps |
|
HSMの台数 |
1台 |
2台 |
2台 |
2台 |
|
可用性 |
– |
〇 |
〇 |
〇 |
|
SLA |
99% |
99.9% |
99.9% |
99.9% |
|
接続可能なクライアント数 |
3 |
10 |
100 |
1000 |
|
フルマネージド型nSaaSの利用可否 |
– |
〇 |
〇 |
〇 |
※現在、nSaaSのデータセンターはUSAとUKの2か所です。データセンターまでの遅延と伝送速度の影響により、上記性能が出ない場合がございます。日本国内のデータセンター開設に向けてメーカ内で活動中です。
nShield HSM製品の取り扱いを始めて15年あまり、長年培った技術とノウハウで本ソリューションの構築支援・お客様の課題解決をさせていただきます。
現在、オンプレミス環境でnShield HSMをご利用の場合、nSaaSへの移行はTEDがサポートさせて頂きます。