Amazonが今日(米国時間3/1)、CloudHSMのローンチを発表した。この新しいサービス はAmazon Web Services(AWS)のユーザに、専用のハードウェアモジュール(Hardware Security Module, CloudHSMの’HSM’)よるデータセキュリティを提供する。セキュリティに関して企業内的、契約条件的、あるいは法制的なコンプライアンス要件を抱えるユーザを、対象としている。Amazonの主張によると、これまで、クラウドサービスを利用する企業の唯一のオプションは、機密データやその暗号キーを自社所有のオンプレミスのデータセンターに保存することだった。当然これによって、アプリケーションをクラウドへ全面的に移行させることが困難になる。
Amazonの説明によると、今回の新しいサービスを利用することが適している分野は、“データベースの暗号化、DRM(Digital Rights Management)、認証や本人証明におけるPKI(Public Key Infrastructure)、署名入りドキュメント、支払などのトランザクション処理、などなどである。そのハードウェアの実体は、SafeNet, Inc.製のLuna SAモジュールだ。
CloudHSMサービスはAmazonのVirtual Private Cloud(VPC)を利用し*、ハードウェアはユーザのVPC内に配備され、ユーザが指定したIPアドレスを持つ。Amazonによるとこのサービスは企業にキーストレージを提供し、それらのキーを、“暗号モジュールの国際的規格(Common Criteria EAL4+)と合衆国規格(NIST FIPS 140-2)に準拠する、不正操作耐性のあるHSMアプライアンス”により、保護する。〔*: 関連記事。〕
HSMはユーザのEC2インスタンスの近くに置かれるので、ネットワーク起因のレイテンシはきわめて低いはずだ。
ただしこれは、お安いサービスではない。まず、配備費用(前払い)が5000ドル、そして使用料は1時間1ドル88セント(月額約1373ドル)だ。これぐらいの高度なセキュリティを必要とする企業にとってはたいした額ではないかもしれないが、暗号キーやデータを安全に保存したいと単純に願うスタートアップ向きではない。HSMのクライアントソフトウェアは複数のCloudHSMにまたがってリクエストのロードバランシング(負荷均衡化)を行うが、Amazonによると複数配備には“数週間を要する”そうだ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
