Microsoft Azure 専用 HSM についてよく寄せられる質問への回答を示します。
基本操作
ハードウェア セキュリティ モジュール (HSM) とは何ですか。
ハードウェア セキュリティ モジュール (HSM) は、暗号化キーの保護と管理に使用される物理コンピューティング デバイスです。 HSM に格納されたキーは、暗号操作に使用できます。 キー マテリアルは、改ざんの防止および改ざんの証明対策が取られたハードウェア モジュール内に、安全に保管されます。 HSM では、認証済みおよび承認済みのアプリケーション以外には、キーの使用を許可しません。 キー マテリアルが HSM による保護の境界の外に出ることは決してありません。
Azure 専用 HSM オファリングとは何ですか。
Azure 専用 HSMはクラウドベースのサービスであり、お客様の仮想ネットワークに直接接続された Azure データセンター内でホストされる HSM を提供します。 これらの HSM は、専用の Thales Luna 7 HSM ネットワーク アプライアンスです。 お客様のプライベート IP アドレス空間に直接デプロイされるため、Microsoft が HSM の暗号化機能にアクセスすることはできません。 お客様のみが、これらのデバイスの完全な管理と暗号化の制御を行います。 お客様がデバイスの管理を担当して、ご自身のデバイスから直接、完全なアクティビティ ログを取得することが可能です。 専用 HSM は、お客様が FIPS 140-2 レベル 3、HIPAA、PCI-DSS、eIDAS、およびその他多くのコンプライアンスや規制要件を満たすのに役立ちます。
専用 HSM のオンボードと使用の制限は何ですか?
お客様が Microsoft アカウント マネージャーを割り当て、Azure Dedicated HSM のオンボードと使用の資格を得るには、年間 500 万 USD ($5M) 以上の Azure 収益要件を満たしている必要があります。
専用 HSM には、どのようなハードウェアが使用されますか?
Microsoft は Azure Dedicated HSM サービスを提供するために Thales と提携しています。 使用される特定のデバイスは、Thales Luna 7 HSM モデル A790 です。 このデバイスは、FIPS 140-2 レベル 3 の検証済みファームウェアを提供しているだけでなく、10 個のパーティションを使って低遅延、高パフォーマンス、および高容量も実現しています。
HSM は何に使用されますか。
HSM を使用する目的は、TLS (トランスポート層セキュリティ)、データの暗号化、PKI (公開キー基盤)、DRM (デジタル著作権管理)、ドキュメントの署名などの暗号化機能で使用される暗号化キーを格納することです。
専用 HSM はどのように動作しますか。
お客様は、PowerShell またはコマンド ライン インターフェイスを使用して、特定のリージョンに HSM をプロビジョニングできます。 お客様は、どの仮想ネットワークに HSM を接続するかを指定し、プロビジョニングされた HSM は、お客様のプライベート IP アドレス空間内の割り当てられた IP アドレスにおいて、指定されたサブネット内で利用可能になります。 次に、お客様はアプライアンス管理用の SSH を使用して HSM に接続し、HSM クライアント接続の設定、HSM の初期化、パーティションの作成、ロール (パーティション担当者、暗号化担当者、暗号化ユーザーなど) の定義と割り当てを行うことができます。 その後、お客様は、Thales が提供する HSM クライアント ツール/SDK/ソフトウェアを使用して、アプリケーションから暗号操作を実行します。
専用 HSM サービスでは、どのようなソフトウェアが提供されますか。
Microsoft によってプロビジョニングされると、Thales から HSM デバイスのすべてのソフトウェアが提供されます。 ソフトウェアは、Thales Customer Support Portal で入手できます。 専用 HSM サービスを使用しているお客様は、Thales サポートへの登録が求められ、関連するソフトウェアへのアクセスとダウンロードが可能な顧客 ID を保有します。 サポートされるクライアント ソフトウェアはバージョン 7.2 であり、FIPS 140-2 レベル 3 の検証済みファームウェア バージョン 7.0.3 と互換性があります。
専用 HSM サービスで追加コストが発生する可能性がありますか。
Dedicated HSM サービスを使用したときに、次の項目で追加コストが発生します。
- 専用のオンプレミスのバックアップ デバイスは、専用 HSM サービスで使用できますが、これには追加コストが発生し、サービスは Thales により直接行われます。
- 専用 HSM には 10 個のパーティション ライセンスが用意されています。 お客さまは、追加パーティションをリクエストし、Thales による直接サービスの追加ライセンスに支払うこともできます。
- Dedicated HSM には、ネットワーク インフラストラクチャ (仮想ネットワーク、VPN ゲートウェイなど) と、デバイス構成用の仮想マシンなどのリソースが必要です。 これらの追加リソースには追加コストが発生し、Dedicated HSM サービスの価格には含まれません。
Azure 専用 HSM は、パスワード ベースの認証と PED ベースの認証を提供していますか。
いいえ。 Azure 専用 HSM は、HSM にパスワード ベースの認証のみを提供しています。
Azure 専用 HSM では、機能モジュールをサポートしていますか。
いいえ。 Azure 専用 HSM サービスでは、機能モジュールをサポートしていません。
Azure 専用 HSM はユーザーの HSM をホストしますか。
Microsoft は、専用 HSM サービスを通じて Thales Luna 7 HSM モデル A790 のみを提供しており、ユーザーが提供するデバイスはホストできません。
Azure Dedicated HSM は、支払い (PIN/EFT) 機能をサポートしますか。
Azure 専用 HSM サービスでは、Thales Luna 7 HSM が使用されます。 これらのデバイスは、支払い HSM 固有の機能 (PIN や EFT など) または認定をサポートしていません。 Azure 専用 HSM サービスでの今後の支払い HSM のサポートを希望する場合は、Microsoft アカウント担当者までその旨をお知らせください。
どの Azure リージョンで Dedicated HSM を使用できますか。
2022 年 10 月の時点で、Dedicated HSM は 22 のリージョンで利用できます。 追加のリージョンについては計画中であり、お客様の Microsoft アカウント担当者を介して検討することができます。
- 米国東部
- 米国東部 2
- 米国西部
- 米国西部 2
- カナダ東部
- カナダ中部
- 米国中南部
- 東南アジア
- インド中部
- インド南部
- 東日本
- 西日本
- 北ヨーロッパ
- 西ヨーロッパ
- 英国南部
- 英国西部
- オーストラリア東部
- オーストラリア南東部
- スイス北部
- スイス西部
- US Gov バージニア州
- US Gov テキサス
相互運用性
自分のアプリケーションで専用 HSM に接続するにはどのようにしたらよいですか。
お客様は、Thales が提供する HSM クライアント ツール/SDK/ソフトウェアを使用して、お使いのアプリケーションから暗号操作を実行します。 ソフトウェアは、Thales Customer Support Portal で入手できます。 専用 HSM サービスを使用しているお客様は、Thales サポートへの登録が求められ、関連するソフトウェアへのアクセスとダウンロードが可能な顧客 ID を保有します。
アプリケーションは、別の仮想ネットワークからの、または複数リージョン間にわたる Dedicated HSM に接続できますか?
はい。複数の仮想ネットワークにわたり接続を確立するには、そのリージョン内の仮想ネットワーク ピアリングを使用する必要があります。 リージョン間の接続には、VPN Gateway を使用する必要があります。
専用 HSM をオンプレミスの HSM と同期できますか。
はい。専用 HSM とオンプレミス HSM を同期することが可能です。 オンプレミス ネットワークとの接続を確立するために、ポイント ツー ポイント VPN またはポイント対サイト接続を使用できます。
専用 HSM 内に格納されたキーを使用して、他の Azure サービスで使用されるデータを暗号化できますか。
いいえ。 Azure 専用 HSM は、お使いの仮想ネットワーク内からのみアクセス可能です。
既存のオンプレミスの HSM から専用 HSM にキーをインポートできますか。
はい (オンプレミスの Thales Luna 7 HSM をご利用の場合)。 複数の方法があります。 Thales HSM のドキュメントをご覧ください。
Dedicated HSM クライアント ソフトウェアでは、どのオペレーティング システムがサポートされますか。
- Windows、Linux、Solaris、AIX、HP-UX、FreeBSD
- 「仮想」は、VMware、hyperv、Xen、KVM を指します。
複数の HSM の複数のパーティションで高可用性構成を作成するようにクライアント アプリケーションを構成するにはどのようにしたらよいですか。
高可用性を得るには、各 HSM からのパーティションを使用するように、HSM クライアント アプリケーションの構成を設定する必要があります。 Thales の HSM クライアント ソフトウェアに関するドキュメントをご覧ください。
専用 HSM では、どのような認証メカニズムがサポートされますか。
Azure 専用 HSM では、Thales Luna 7 HSM モデル A790 デバイスが使用されます。これらのデバイスは、パスワードベースの認証をサポートしています。
専用 HSM では、どのような SDK、API、クライアント ソフトウェアを使用できますか。
PKCS#11、Java (JCA/JCE)、Microsoft CAPI、CNG、OpenSSL
キーを Luna 5/6 HSM から Azure 専用 HSM にインポートまたは移行できますか。
はい。 適切な Thales の移行ガイドについては、Thales の担当者にお問い合わせください。
Azure 専用 HSM に機能モジュールをインストールできますか。
いいえ。 Azure 専用 HSM サービスでは、機能モジュールをサポートしていません。
ご自身の HSM を使用する
Azure Key Vault または Azure 専用 HSM のどちらを使用するかをどのように判断したらよいですか。
HSM を使用する Azure オンプレミス アプリケーションに移行している企業では、Azure 専用 HSM が適切な選択です。 専用 HSM は、変更を最小限に抑えてアプリケーションを移行するオプションを提供します。 Azure VM または Web App で実行されるアプリケーションのコード内で、暗号操作が行われている場合は、専用 HSM を使用できます。 一般に、HSM をキー ストアとしてサポートし、IaaS (サービスとしてのインフラストラクチャ) モデルで実行される市販のソフトウェアでは、専用 HSM を使用できます。キーのない TLS に対するトラフィック マネージャー、ADCS (Active Directory 証明書サービス)、類似の PKI ツール、ドキュメント署名に使用されるツール/アプリケーション、コード署名、EKM (拡張可能キー管理) プロバイダーを使用する HSM においてプライマリ キーを使った TDE (Transparent Database Encryption) によって構成されている SQL Server (IaaS) などがあります。 "クラウド生まれ" のアプリケーションや、お客様のデータが PaaS (サービスとしてのプラットフォーム) または SaaS (サービスとしてのソフトウェア) シナリオで処理される暗号保存のシナリオでは、Azure Key Vault が適しています。このシナリオには、Office 365 カスタマー キー、Azure Information Protection、Azure Disk Encryption、カスタマー マネージド キーを使用した Azure Data Lake Store 暗号化、カスタマー マネージド キーを使用した Azure Storage 暗号化、およびカスタマー マネージド キーを使用した Azure SQL などがあります。
Azure 専用 HSM にはどのような使用シナリオが最適ですか。
Azure Dedicated HSM は、既に HSM を使用している Azure にオンプレミス アプリケーションを移行する移行シナリオに最適です。アプリケーションへの変更を最小限に抑えて Azure に移行するための低摩擦の方法となります。 Azure VM または Web App で実行されるアプリケーションのコード内で暗号操作が行われている場合、専用 HSM を使用できます。 一般に、キー ストアとして HSM をサポートする IaaS (サービスとしてのインフラストラクチャ) モデルで実行される市販ソフトウェアでは、Dedicated HSM を使用できます。次のようなものです。
- キーのない TLS に対するトラフィック マネージャー
- ADCS (Active Directory 証明書サービス)
- 類似の PKI ツール
- ドキュメント署名に使用されるツール/アプリケーション
- コード署名
- EKM (拡張可能キー管理) プロバイダーを使用する HSM において、プライマリ キーを使った TDE (Transparent Database Encryption) によって構成されている SQL Server (IaaS)
専用 HSM は、Office 365 カスタマー キー、Azure Information Protection、Azure Data Lake Store、Disk Encryption、Azure Storage 暗号化、Azure SQL TDE で使用できますか。
いいえ。 専用 HSM は、お客様のプライベート IP アドレス空間に直接プロビジョニングされるため、他の Azure または Microsoft サービスからアクセスすることはできません。
管理、アクセス、および制御
ユーザーは、Dedicate HSM を使用して HSM を完全に排他的に制御できますか。
はい。 各 HSM アプライアンスは完全に単一のお客様専用であり、一度プロビジョニングされて管理者パスワードが変更されると、他のユーザーには管理制御権がありません。
Microsoft はユーザーの HSM に対してどのようなレベルのアクセス権を持っていますか。
Microsoft は HSM に対して、管理制御または暗号制御を行うことはできません。 Microsoft は、温度やコンポーネントの正常性などの基本的なテレメトリを取得し、Microsoft から正常性に関する問題をプロアクティブに通知するために、シリアル ポート接続による監視レベルのアクセス許可を持っています。 必要に応じて、お客様はこのアカウントを無効にできます。
Microsoft が使用する "テナント管理者" アカウントとは Thales Luna HSM の管理者ユーザーが "admin" であることに慣れています
HSM デバイスには、既定の管理者ユーザーと通常の既定のパスワードが付属しています。 Microsoft は、プール内のデバイスがお客様によるプロビジョニングを待っているときに、規定のパスワードが使われることを望みませんでした。 これは、弊社の厳密なセキュリティ要件を満たしません。 このため、プロビジョニング時に破棄される強力なパスワードが設定されています。 また、プロビジョニング時には、"tenant admin" という名前の管理者ロールで、新しいユーザーが作成されます。 "テナント管理者" ユーザーには既定のパスワードが設定されており、お客様は、新しくプロビジョニングされたデバイスに初めてログインするときに、最初のアクションとしてこれを変更します。 このプロセスにより、高度なセキュリティが確保され、お客様に対する唯一の管理制御という約束が維持されます。 お客様がそのアカウントの使用を希望される場合、"tenant admin" ユーザーを使って管理者ユーザーのパスワードをリセットできることに注意する必要があります。
Microsoft または Microsoft の担当者は、ユーザーの専用 HSM 内のキーにアクセスできますか。
いいえ。 お客様に割り当てられている専用 HSM に格納されたキーに対しては、Microsoft はアクセス権を保持しません。
Azure Dedicated HSM には顧客データは格納されますか。
いいえ。 Azure Dedicated HSM は、リース サービス用のベアメタル HSM です。 サービスにお客様のデータは保存されません。 すべてのキー マテリアルとデータは、お客様の HSM アプライアンス内に格納されます。 各 HSM アプライアンスは完全に、単一のお客様専用であり、お客様により完全な管理コントロールが行われます。
自分に割り当てられた HSM 上のソフトウェア/ファームウェアをアップグレードできますか。
別のファームウェア バージョンの特定の機能が必要な場合、お客様には、ソフトウェア/ファームウェアのアップグレードを含めた完全な管理制御権があります。 変更を行う前に、ソフトウェア/ファームウェアのアップグレード シナリオについて Thales サポートにお問い合わせください。
専用 HSM はどのように管理したらよいですか。
SSH を使ってアクセスすることで、専用 HSM を管理できます。
専用 HSM 上のパーティションはどのように管理したらよいですか。
HSM およびパーティションの管理には、Thales の HSM クライアント ソフトウェアが使用されます。
自分の HSM を監視するにはどのようにしたらよいですか。
お客様は、syslog および SNMP 経由で HSM アクティビテ ログへのフル アクセス権を保持しています。 HSM からログまたはイベントを受信するには、お客様が syslog サーバーまたは SNMP サーバーをセットアップする必要があります。
専用 HSM からすべての HSM 操作のフル アクセス ログを取得できますか。
はい。 HSM アプライアンスから syslog サーバーにログを送信することができます。
高可用性
同じリージョン内で、または複数のリージョンにまたがって高可用性を構成できますか。
はい。 高可用性の構成とセットアップは、Thales が提供する HSM クライアント ソフトウェアで実行されます。 同じ仮想ネットワークまたは同一リージョンや複数ネットワーク間の別の VNETからの HSM、またはサイト対サイトまたはポイント ツー ポイントの VPN で仮想ネットワークに接続されたオンプレミス HSM を同じ高可用性構成に追加できます。 これによってキー マテリアルのみが同期し、ロールなど特定の構成項目は同期されないことに注意する必要があります。
自分のオンプレミス ネットワークから Azure 専用 HSM を使った高可用性グループに、HSM を追加することはできますか。
はい。 これらは、Thales Luna 7 HSM の高可用性の要件を満たしている必要があります。
オンプレミス ネットワークから Azure 専用 HSM を使った高可用性グループに、Luna 5/6 HSM を追加することはできますか。
いいえ。
1 つの単一アプリケーションから同じ高可用性構成にいくつの HSM を追加できますか。
HA グループの 16 メンバーにフルスロットル テストを行い、すばらしい結果が出ています。
サポート
専用 HSM サービスの SLA とはどういうものですか。
専用 HSM サービスで保証されている特定の稼働時間はありません。 Microsoft では、デバイスへのネットワーク レベルのアクセスを保証しているため、標準の Azure ネットワーク SLA が適用されます。
Azure 専用 HSM で使用される HSM はどのように保護されていますか。
Azure データセンターにおいて、物理上および手続き上のセキュリティ制御が詳細に行わています。 さらに、専用 HSM は、データセンター内でもアクセスがより制限されたエリアでホストされています。 これらのエリアでは、セキュリティ強化のためにさらなる物理アクセス制御やビデオ カメラによる監視が行われています。
セキュリティ違反やハードウェアの改ざんが発生した場合はどうなりますか。
専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスが使用されます。 これらのデバイスは、物理的および論理的な改ざんの検出をサポートしています。 改ざんが行われた場合、HSM は自動的にゼロ埋めされます。
自分の専用 HSM 内のキーがエラーや悪意のある内部関係者の攻撃のために失われていないことを確認するにはどのようにしたらよいですか。
オンプレミス HSM バックアップ デバイスを使用して、ディザスター リカバリーのために HSM の日常的な定期バックアップを実行することを強くお勧めします。 HSM バックアップ デバイスに接続されているオンプレミス ワークステーションに対しては、ピアツーピアまたはサイト間のVPN 接続を使用する必要があります。
専用 HSM のサポートを受けるにはどのようにしたらよいですか。
サポートはマイクロソフトと Thales の両方で提供されます。 ハードウェアまたはネットワーク アクセスの問題がある場合は、Microsoft にサポート リクエストを出してください。HSM 構成、ソフトウェア、およびアプリケーション開発の問題がある場合は、Thales にサポート要求を出してください。 問題が不明な場合は、マイクロソフトにサポート要求を出してください。その後、必要に応じて Thales が対応できます。
Thales Luna 7 HSM のクライアント ソフトウェア、ドキュメント、統合ガイダンスへのアクセスを取得するにはどうすればよいですか。
サービスに登録すると、Thales カスタマー サポート ポータルに登録できる Thales カスタマー ID が届きます。これにより、すべてのソフトウェアとドキュメントにアクセスしたり、Thales に直接サポートを求めたりすることができます。
セキュリティの脆弱性が検出され、Thales が修正プログラムをリリースした場合は、だれが OS/ファームウェアのアップグレードまたはプログラム修正に責任を負いますか。
Microsoft では、お客様に割り当てられている HSM に接続することはできません。 お客様が HSM をアップグレードして、修正プログラムを適用する必要があります。
HSM を再起動する必要が生じたらどうすればよいですか。
HSM にはコマンド ラインの再起動オプションがありますが、再起動が断続的に応答を停止する問題が発生しているため、安全に再起動できるように、Microsoft にサポート リクエストを送信してデバイスの物理的な再起動を依頼することをお勧めします。
暗号化と標準
最も重要なデータの暗号化キーを専用 HSM に格納することは安全ですか。
はい。専用 HSM では、FIPS 140-2 レベル 3 への準拠が検証された Thales Luna 7 HSM がプロビジョニングされます。
Dedicated HSM では、どの暗号化キーとアルゴリズムがサポートされていますか?
専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスがプロビジョニングされます。 このアプライアンスでは、フル スイート B のサポートなど、暗号化キーの種類とアルゴリズムを幅広くサポートしています。
- 非対称:
- RSA
- DSA
- Diffie-Hellman
- 楕円曲線
- 名前付き、ユーザー定義、Brainpool 曲線、KCDSA による暗号化 (ECDSA、ECDH、Ed25519、ECIES)
- 対称:
- AES-GCM
- Triple DES
- DES
- ARIA、SEED
- RC2
- RC4
- RC5
- CAST
- ハッシュ/Message Digest/HMAC: SHA-1、SHA-2、SM3
- キー派生: SP 800-108 カウンター モード
- キー ラッピング: SP 800-38F
- 乱数生成: BSI DRG.4 に準拠している、FIPS 140-2 承認済み DRBG (SP 800-90 CTR モード)
専用 HSM は FIPS 140-2 レベル 3 が検証されていますか。
はい。 専用 HSM サービスでは、FIPS 140-2 レベル 3 への準拠が検証された Thales Luna 7 HSM モデル A790 アプライアンスがプロビジョニングされます。
FIPS 140-2 レベル 3 の検証済みモードで専用 HSM を稼働させていることを確認するには何を行う必要がありますか。
専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスがプロビジョニングされます。 これらのデバイスは、FIPS 140-2 レベル 3 への準拠が検証された HSM です。 また、展開されている既定の構成、オペレーティング システム、およびファームウェアも、FIPS 検証済みになっています。 FIPS 140-2 レベル 3 に準拠するために、何らかの操作を行う必要はありません。
HSM のプロビジョニングが解除されたときに、すべてのキー マテリアルが消去されていることをユーザーが確認するには、どうしたらよいですか?
プロビジョニング解除を要求する前に、Thales が提供する HSM クライアント ツールを使用して、お客様が HSM をゼロ埋めしておく必要があります。
パフォーマンスとスケール
専用 HSM では、1 秒あたり何回の暗号化操作がサポートされていますか。
専用 HSM では、Thales Luna 7 HSM がプロビジョニングされます。 一部の操作の最大パフォーマンスの概要を以下に示します。
- RSA-2048: 1 秒あたり 10,000 回のトランザクション
- ECC P256: 1 秒あたり 20,000 回のトランザクション
- AES-GCM: 1 秒あたり 17,000 回のトランザクション
専用 HSM では、いくつのパーティションを作成できますか。
使用される Thales Luna 7 HSM モデル A790 には、サービス料金に 10 個のパーティションのライセンスが含まれます。 デバイスのパーティションの制限は 100 個です。この制限を上回るパーティションを追加すると、余分なライセンス コストが発生し、デバイスに新しいライセンス ファイルのインストールする必要があります。
専用 HSM では、いくつのキーをサポートできますか。
キーの最大数は使用可能なメモリの機能です。 使われている Thales Luna 7 モデル A790 には、32 MB のメモリがあります。 非対称キーを使用している場合は、次の数がキーのペアにも適用されます。
- RSA-2048 - 19,000
- ECC-P256 - 91,000
キー生成のテンプレートに設定された特定のキー属性とパーティション数に応じて、容量は変化します。