GTM-MML4VXJ
Skip to main content

富士通サーバ ISV/IHV技術情報
SPARC M10シリーズに堅牢かつ高速な暗号化機能を実装


東京エレクトロン デバイス株式会社 様

2016年3月22日

Security

はじめに

昨今、インターネットが社会経済基盤として不可欠となり、世界各国でネットワークへの不正侵入による情報漏えい問題が多発し、企業のセキュリティ管理に対する意識は高まるばかりです。

このような中、個人情報や設計情報などの機密情報をサイバー攻撃から守るうえで欠かせないのが、「データの暗号化」です。
仮にデータが盗難に遭った場合でも、暗号化を行った「手法」と「鍵」がわからなければ内容を読み取ることができず、情報漏えいを防止することができます。

しかし、そこにも課題がないわけではありません。
暗号化およびデータの利用時に元の内容(平文)に戻す復号化といった処理には重い負荷が伴い、本番システムの運用に影響を及ぼす恐れがあります。
また、暗号化を行っているサーバそのものが盗難にあったり、乗っ取られたりした場合、「手法」や「鍵」も攻撃者に知られることとなり、情報を保護することができなくなってしまいます。


東京エレクトロン デバイス株式会社
CNカンパニー
CN第一営業本部
パートナー第一営業部
アカウントセールス
斎藤 隆之 氏


東京エレクトロン デバイス株式会社
CNカンパニー
CN技術本部
サポート&サービス技術部
NWサポート1グループ
加藤 正明 氏

今回、最先端の半導体やネットワークシステムなどを高度な技術サポートと徹底した検証による品質保証とともに提供する、東京エレクトロン デバイス株式会社(所在地:神奈川県横浜市、代表取締役社長:徳重敦之、以下、東京エレクトロン デバイス)斎藤 隆之氏と加藤 正明氏に、これらの課題を解決すべく、フランスTHALES社製の「nShield HSMシリーズ」という暗号化ソリューションの特長や活用方法について、お話しを伺いました。

ソリューション提案

暗号鍵と暗号化プログラムをハードウェアで保護

「nShield HSMシリーズ」とは

nShield HSMシリーズは、その名のとおりHSM(ハードウェア・セキュリティ・モジュール)と呼ばれるカテゴリーのソリューションで、暗号鍵およびアプリケーションを堅牢に保護するとともに、高性能な暗号処理機能を提供します。

THALES社はHSMの国内市場において、2014年度の金額ベース実績で68.8%(出典:「株式会社ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望2015」)のシェアを占有するトップベンダーであり、 THALES社の代表製品のひとつである「nShield HSMシリーズ」は、多くのお客様から高い評価を獲得しています。

なお、東京エレクトロン デバイスではnShield HSMシリーズのうち、サーバのカードスロット(PCI-Express)に挿入して使用するカード型の「nShield Solo+」(【図1】)、複数サーバから利用可能なネットワーク・アプライアンス型の「nShield Connect+」の2つのタイプの製品を提供しています。

【図1】

業界最高水準のセキュリティ認定を取得

nShield HSMシリーズの最大の特長は、内部データの物理的な読み取りを防止する強力な「耐タンパー性」です。

【図2】

【図2】に示すとおり、nShield HSMシリーズを利用した場合、THALES社独自の「セキュリティ・ワールド」というアーキテクチャのもと、暗号化プログラムや暗号鍵そのものをHSMのハードウェアで保護し、サーバのHDDに暗号化された鍵管理データを格納するという分散管理が行われます(※1)。
これによりHDDからの暗号鍵の盗難を防止します。

とはいえ、HSMの中身まで読み取ろうとした場合はどうなるのでしょうか。
ご心配は無用です。ここで真価を発揮するのが「耐タンパー性」なのです。
非正規の手段によって外部からHSMの中身を読み取ろうとした場合、基板全体が樹脂コーティングされているため、物理的に読み取りができない仕組みとなっています。

このnShield HSMシリーズの堅牢性は、「FIPS 140-2レベル3」(※2)や「Common Criteria EAL4+」(※3)といった業界標準のセキュリティ・ベンチマークにおいて、最高水準の認定を取得しています。

※1 管理する暗号鍵の数に制限はありません。
※2 FIPS 140-2:米国標準技術院(NIST)によって策定された、暗号モジュールの安全性に関する米国政府調達基準。
※3 Common Criteria:情報システムのセキュリティの要求仕様を示し、開発・評価のプロセスが厳密な方式で行われたことを保証する国際的なセキュリティ評価基準。

高負荷の暗号化処理を高速実行

nShield HSMシリーズは、暗号化プログラムや暗号鍵を単に保護するだけではありません。
RSA高速演算やECC高速演算といった処理をHSMのハードウェアでアクセラレートすることで、サーバから暗号化の処理負荷をオフロードし、高速化します。

多様なシステムでの活用が可能

汎用的で強固なセキュリティソリューションとして設計されたnShield HSMシリーズは、グローバルでは大手銀行や国際空港などで採用され、国内においてもICキャッシュカード認証やクレジット決済、電子マネー(FeliCa/ICAS)、PKI/電子署名など、業界業種を問わず導入実績が広がっています。

ほかにも、Webシステム、認証局、カード発行システム、データベース暗号化などの多様な用途で利用いただけます(【図3】)。
また、開発ソフトウェア「Cipher tools」が提供する各種標準APIやソフトウェア・ライブラリを活用することで、個別アプリケーションにHSMを組み込んだ連携ソリューションを構築することも可能です。

【図3】

富士通UNIXサーバ SPARC M10による性能検証を実施

「nShield Solo+」の活用効果を実証!

この度、東京エレクトロン デバイスは富士通に協力いただき、UNIXサーバ 「SPARC M10」をご利用またはこれから導入をお考えのお客様に、安心して「nShield Solo+」をご利用いただけるよう、基本動作確認ならびに性能評価を実施し、その性能検証結果報告書としてまとめました。

詳しくは「富士通サーバ ISV/IHV技術情報」に掲載の検証事例をご覧ください。
UNIX サーバ「SPARC M10」とTHALES社製「nShield Solo+」での検証結果報告

本検証結果報告書では、お客様から特にお問い合わせの多い、下記の7×3パターンの性能評価結果を掲載しています。
いずれの暗号アルゴリズムについても、お客様に自信を持ってお勧めできる結果を示しました。

試験を実施した暗号アルゴリズム

RSA:①署名処理(1024bit/2048bit/2096bit)
3DES:②復号処理 / ③暗号化処理(40byte/1024byte/8192byte)
AES128:④復号処理 / ⑤暗号化処理(40byte/1024byte/8192byte)
AES256:⑥復号処理 / ⑦暗号化処理(40byte/1024byte/8192byte)

なお、実際にnShield HSMシリーズを導入いただく際には、導入構成を踏まえた事前検証をお願いいたします。東京エレクトロン デバイスは富士通と連携し、検証機器の貸出から検証作業のサポートまで、ご協力させていただきます。

SPARC M10 とTHALES社製「nShield HSMシリーズ」で超高速電子決済を実現

富士通のSPARC M10は、国内トップシェアのUNIXサーバであり、富士通の信頼性の高いサービスとともに、金融/電子決済など、基幹システムにも多く活用されており、高いレスポンス性能がお客様の高い評価を受けていると伺っております。
また、SPARC M10は、暗号化をハードウェアで処理する「Software on Chip機能」が搭載されており、Solaris標準のAPIでAES, DES, 3DES, RSA, SHAの暗号アルゴリズムをハードウェアで高速に処理できるため、簡単に高いレスポンスが得られます。

弊社のTHALES社製「nShield HSMシリーズ」を、IAサーバよりも安くなった、「UNIXサーバ SPARC M10」と組み合わせてお使いいただくことで、最新のハードウェア技術をフル活用した、レスポンスの良い高速/高信頼な電子金融決済/認証システムをご提供させていただきます。
是非、お問い合わせください。

※文中に掲載の社名・製品名・技術方式名などは各社の商標あるいは登録商標です。

お問い合わせ先

東京エレクトロン デバイス株式会社
CNカンパニー CN第一営業本部 パートナー第一営業部 (担当:斎藤 隆之)
icon-telephone 03-5908-1962
フォームでのお問い合わせ:http://cn.teldevice.co.jp/product/thales/form.htmlOpen a new window
Webサイト:http://cn.teldevice.co.jp/Open a new window

注意事項

  • 本サイトでは、富士通のサーバ製品への適用サポートを表明されている各ベンダー様よりご提供いただいた情報を掲載しております。
  • 掲載製品は、適用サーバ製品の全モデルをサポートしていない場合があります。製品の情報、検証事例、製品の導入およびサポート等については、各ベンダー様の提供する範囲となりますので、詳細につきましては各ベンダー様へお問い合わせをお願いいたします。
    なお、一部旧社名/旧製品名のまま掲載しており、記載の連絡先にお問合せいただけない場合がありますが、予めご了承ください