エントラストジャパンは11月10日、ハードウェアセキュリティモジュール(HSM)である「nShield 5」の説明会を開催した。HSMは、データ暗号化および復号化や電子署名に用いる暗号鍵の管理などで使用するハードウェアだ。
セキュリティ対策が必須の現在、暗号鍵は欠かせない要素の一つだが、暗号鍵をファイルとして格納すると漏えいリスクは格段に高まる。そこで求められるのが暗号鍵をハードウェアで管理するHSMだ。
エントラストジャパンの担当者は「ゼロトラストやコンプライアンス、データ保護の義務化によってHSMの使用事例は拡大中。われわれの製品はデータ保護とサイバーセキュリティにおける25年の経験を持つ」と主張し、昨今ではIoTや自動車業界をはじめとする製造業でHSMの需要が高まっていると説明した。
米国本社のEntrustは創業1994年からセキュリティソリューションを手掛け、1998年にHSM製品を提供している。数えて25年目にあたる新製品は、PCIeカード型の「Entrust nShield 5s」(nShield 5s)とラックマウント型の「Entrust nShield 5c」(nShield 5c)の2製品。
次世代モデルが登場した背景として、エントラストジャパンの担当者は「数年前は金融系など限られた顧客のみHSMを採用していたが、昨今の(セキュリティ)状況を踏まえてHSMによる暗号鍵管理の必要性が高まった」と説明している。2製品とも米国立標準技術研究所(NIST)が定めた暗号化モジュールのセキュリティ要件「NIST FIPS 140-3」の認定取得中であり、量子コンピューティングで用いるポスト量子暗号(PQC)へも対応する予定だ。
nShield 5c/5sの特徴
nShield 5sは前モデルの「nShield Solo XC」と比較して、空冷ファンの代わりに放熱板を採用。消費電力は15~17ワットから20~25ワットに増えているが、煩雑なモードスイッチの廃止やリセットボタンを用意した。
nShield 5cはBase/Mid/Highモデルを用意し、処理性能に応じた選択が可能。例えば、ECDSA(楕円曲線DSA)P-521ビットならBaseは1秒あたり518、Highなら2724まで鍵を生成できる。また、ハードウェア構成も変更して10%から15%の性能向上を実現した。
OS構成もコンテナベースに変更し、組織全体のアプリケーションに暗号化サービスを提供する「nShield Security World」の追加や、複数のサービスを分離して鍵を管理するマルチテナンシーを可能にしている。
nShield 5の性能特徴とベンチマーク
前モデルから継承する「CodeSafe」もコンテナベースのセキュア実行エンジン(SSE)マシンに移行し、複数コードを実行する「CodeSafe 5」に更新。nShield 5が備える機能を一括管理するソフトウェア「KeySafe 5」は、シングルサインオンで使用されるIdP(Identity Provider)ログインに対応し、各種オープンソースに対応するREST APIを用意する。
5Gアクセス時は相互認証など3つのセキュリティ改善を施した信頼性の向上とECIES(Elliptic Curve Integrated Encryption Scheme)やMILENAGE、TUAKといった認証アルゴリズム使用時の性能向上を実現したという。エントランスジャパンは現在、ディスカウントキャンペーンを実施しており、2024年3月末までにnShield 5c/5sの1台目を安価に導入できるとしている。
