HSMの基本的な機能は、暗号鍵を不正使用から保護することです。
これだけでも高度なセキュリティを提供しますが、HSM(ハードウェア・セキュリティ・モジュール)で復号された機密データがホスト上で処理されているケースもあります。「CodeSafe開発ソフトウェア」は、HSM上で実行されるカスタム・アプリケーションの開発を可能にし、機密データがホスト上で不正ソフトウェアや内部関係者に盗み見られることを防止します。「CodeSafe」はHSMのSEE(セキュア・エグゼキューション・エンジン)機能を利用しており、HSMのSEEアクティベーションライセンスの購入が必要となります。
パスワードや暗証番号など、機密情報を安全に扱うためには、アプリケーションが保護された環境で実行される必要があります。サーバーのセキュリティを確信できない場合には、特に重要になります。
Entrust社の「CodeSafe」は、重要なアプリケーションをFIPS 140-2レベル3準拠のHSM用に開発し、HSM上に実装して実行することを可能にします。
こうして開発された信頼済みアプリケーション(トラステッド・アプリケーション)は、安全な環境でデータを復号、処理、暗号化することができます。その結果、扱われるデータと処理ロジックは安全に保護され、その安全性を証明することができます。
企業の知的財産には、アプリケーションの一部が含まれることもあります。
例えば、金融トランザクションの不正検知アルゴリズムや、製造ラインでの生産ロジックなどです。「CodeSafe」を使えば、データだけでなくアプリケーションそのものを盗難から守ることができます。そしてこの保護機能は外注先のシステムなど、自社の管理外にある環境にも適用できます。
【適用例】
・機密情報の保護
攻撃からの保護
– 信頼済みアプリケーションをHSM環境で実行することで、OS上でのデータへの攻撃から保護することができます。
アクセス制御
– 保護されるデータに対するアクセスを、必要な人にのみ許可することができます。
・アプリケーションの保護
コード署名
-「CodeSafe」によって、信頼済みアプリケーションに電子署名を付与することで、実行前にアプリケーションの正当性を確認できます。
処理の安全性
– 改ざんされたアプリケーションは実行されないので、機密データ処理の安全性を保証することができます。
トラステッド・エージェント
– こうして信頼済みアプリケーションを埋め込んだ「nShield HSM」を信頼性の高いエージェントとして、外注先などの環境に適用することができます。
・知的財産流出の防止
コードの暗号化
– 「CodeSafe」では信頼済みアプリケーションを暗号化することができ、不正なコピーや使用を防止できます。
知的財産保護
– プログラムのリバース・エンジニアリングや意図しない場所での実行を防止することができます。