よく寄せられる質問 (FAQ)

ハードウェア セキュリティ モジュール (HSM) は、暗号化キーの保護と管理に使用される物理コンピューティング デバイスです。 HSM に格納されたキーは、暗号操作に使用できます。 キー マテリアルは、改ざんの防止および改ざんの証明対策が取られたハードウェア モジュール内に、安全に保管されます。 HSM では、認証済みおよび承認済みのアプリケーション以外には、キーの使用を許可しません。 キー マテリアルが HSM による保護の境界の外に出ることは決してありません。

Azure 専用 HSMはクラウドベースのサービスであり、お客様の仮想ネットワークに直接接続された Azure データセンター内でホストされる HSM を提供します。 これらの HSM は、専用の Thales Luna 7 HSM ネットワーク アプライアンスです。 お客様のプライベート IP アドレス空間に直接展開され、Microsoft には HSM の暗号化機能へのアクセス権はありません。 お客様のみが、これらのデバイスの完全な管理と暗号化の制御を行います。 お客様がデバイスの管理を担当して、ご自身のデバイスから直接、完全なアクティビティ ログを取得することが可能です。 専用 HSM は、お客様が FIPS 140-2 レベル 3、HIPAA、PCI-DSS、eIDAS、およびその他多くのコンプライアンスや規制要件を満たすのに役立ちます。

お客様は、Microsoft アカウント マネージャーを割り当て、Azure Dedicated HSM のオンボードと使用の資格を得るために、年間 500 万 ($5M) USD 以上の年額要件を満たしている必要があります。

Microsoft は Azure Dedicated HSM サービスを提供するために Thales と提携しています。 使用される特定のデバイスは、Thales Luna 7 HSM モデル A790 です。 このデバイスは、FIPS 140-2 レベル 3 の検証済みファームウェアを提供しているだけでなく、10 個のパーティションを使って低遅延、高パフォーマンス、および高容量も実現しています。

HSM を使用する目的は、TLS (トランスポート層セキュリティ)、データの暗号化、PKI (公開キー基盤)、DRM (デジタル著作権管理)、ドキュメントの署名などの暗号化機能で使用される暗号化キーを格納することです。

お客様は、PowerShell またはコマンド ライン インターフェイスを使用して、特定のリージョンに HSM をプロビジョニングできます。 お客様は、どの仮想ネットワークに HSM を接続するかを指定し、プロビジョニングされた HSM は、お客様のプライベート IP アドレス空間内の割り当てられた IP アドレスにおいて、指定されたサブネット内で利用可能になります。 次に、お客様はアプライアンス管理用の SSH を使用して HSM に接続し、HSM クライアント接続の設定、HSM の初期化、パーティションの作成、ロール (パーティション担当者、暗号化担当者、暗号化ユーザーなど) の定義と割り当てを行うことができます。 その後、お客様は、Thales が提供する HSM クライアント ツール/SDK/ソフトウェアを使用して、アプリケーションから暗号操作を実行します。

Microsoft によってプロビジョニングされると、Thales から HSM デバイスのすべてのソフトウェアが提供されます。 ソフトウェアは、Thales Customer Support Portal で入手できます。 専用 HSM サービスを使用しているお客様は、Thales サポートへの登録が求められ、関連するソフトウェアへのアクセスとダウンロードが可能な顧客 ID を保有します。 サポートされるクライアント ソフトウェアはバージョン 7.2 であり、FIPS 140-2 レベル 3 の検証済みファームウェア バージョン 7.0.3 と互換性があります。

専用 HSM サービスを使用したときに、次の項目で追加コストが発生します。

• 専用のオンプレミスのバックアップ デバイスは、専用 HSM サービスで使用できますが、これには追加コストが発生するため、Thales から直接供給を受ける必要があります。
• 専用 HSM には 10 個のパーティション ライセンスが用意されています。 お客様がさらに多くのパーティションを必要とする場合、Thales から直接供給される追加ライセンスに対して追加料金が発生します。
• 専用 HSM には、ネットワーク インフラストラクチャ (VNET、VPN Gateway など) と、デバイス構成用の仮想マシンなどのリソースが必要です。 これらの追加リソースには追加コストが発生し、専用 HSM サービスの価格には含まれません。

いいえ。 Azure 専用 HSM は、HSM にパスワード ベースの認証のみを提供しています。

いいえ。 Azure 専用 HSM サービスでは、機能モジュールをサポートしていません。

Microsoft は、専用 HSM サービスを通じて Thales Luna 7 HSM モデル A790 のみを提供しており、ユーザーが提供するデバイスはホストできません。

Azure 専用 HSM サービスでは、Thales Luna 7 HSM が使用されます。 これらのデバイスは、支払い HSM 固有の機能 (PIN や EFT など) または認定をサポートしていません。 Azure 専用 HSM サービスでの今後の支払い HSM のサポートを希望する場合は、Microsoft アカウント担当者までその旨をお知らせください。

2022 年 10 月の時点では、専用 HSM は次に示す 22 のリージョンで使用できます。 追加のリージョンについては計画中であり、お客様の Microsoft アカウント担当者を介して検討することができます。

• 米国東部
• 米国東部 2
• 米国西部
• 米国西部 2
• カナダ東部
• カナダ中部
• 米国中南部
• 東南アジア
• インド中部
• インド南部
• 東日本
• 西日本
• 北ヨーロッパ
• 西ヨーロッパ
• 英国南部
• 英国西部
• オーストラリア東部
• オーストラリア南東部
• スイス北部
• スイス西部
• US Gov バージニア州
• US Gov テキサス

お客様は、Thales が提供する HSM クライアント ツール/SDK/ソフトウェアを使用して、お使いのアプリケーションから暗号操作を実行します。 ソフトウェアは、Thales Customer Support Portal で入手できます。 専用 HSM サービスを使用しているお客様は、Thales サポートへの登録が求められ、関連するソフトウェアへのアクセスとダウンロードが可能な顧客 ID を保有します。

はい。リージョン内では VNET ピアリングを使用して、仮想ネットワーク間に接続を確立する必要があります。 リージョン間の接続には、VPN Gateway を使用する必要があります。

はい。専用 HSM とオンプレミス HSM を同期することが可能です。 オンプレミス ネットワークとの接続を確立するために、ポイント ツー ポイント VPN またはポイント対サイト接続を使用できます。

いいえ。 Azure 専用 HSM は、お使いの仮想ネットワーク内からのみアクセス可能です。

はい (オンプレミスの Thales Luna 7 HSM をご利用の場合)。 複数の方法があります。 Thales HSM のドキュメントをご覧ください。

• Windows、Linux、Solaris、AIX、HP-UX、FreeBSD
• 仮想: VMware、Hyper-V、Xen、KVM

高可用性を得るには、各 HSM からのパーティションを使用するように、HSM クライアント アプリケーションの構成を設定する必要があります。 Thales の HSM クライアント ソフトウェアに関するドキュメントをご覧ください。

Azure 専用 HSM では、Thales Luna 7 HSM モデル A790 デバイスが使用されます。これらのデバイスは、パスワードベースの認証をサポートしています。

PKCS#11、Java (JCA/JCE)、Microsoft CAPI、CNG、OpenSSL

はい。 適切な Thales の移行ガイドについては、Thales の担当者にお問い合わせください。

いいえ。 Azure 専用 HSM サービスでは、機能モジュールをサポートしていません。

HSM を使用する Azure オンプレミス アプリケーションに移行している企業では、Azure 専用 HSM が適切な選択です。 専用 HSM は、変更を最小限に抑えてアプリケーションを移行するオプションを提供します。 Azure VM または Web App で実行されるアプリケーションのコード内で、暗号操作が行われている場合は、専用 HSM を使用できます。 一般に、キー ストアとして HSM をサポートする IaaS (サービスとしてのインフラストラクチャ) モデルで実行される市販ソフトウェアでは、Dedicated HSM を使用できます。たとえば、キーレス TLS 用のトラフィック マネージャー、ADCS (Active Directory 証明書サービス)、またはそれに類似する PKI ツール、ドキュメントの署名に使われるツールやアプリケーション、コード署名、EKM (拡張可能キー管理) プロバイダーを使って HSM でマスター キーによる TDE (Transparent Database Encryption) が構成された SQL Server (IaaS) などです。 "クラウド生まれ" のアプリケーションや、お客様のデータが PaaS (サービスとしてのプラットフォーム) または SaaS (サービスとしてのソフトウェア) シナリオで処理される暗号保存のシナリオでは、Azure Key Vault が適しています。このシナリオには、Office 365 カスタマー キー、Azure Information Protection、Azure Disk Encryption、カスタマー マネージド キーを使用した Azure Data Lake Store 暗号化、カスタマー マネージド キーを使用した Azure Storage 暗号化、およびカスタマー マネージド キーを使用した Azure SQL などがあります。

Azure 専用 HSM は、移行のシナリオに最適です。 つまり、既に HSM を使用している Azure にオンプレミス アプリケーションを移行する場合です。 これにより、アプリケーションへの変更を最小限に抑えて Azure に移行するという、問題が生じにくいオプションが提供されます。 Azure VM または Web App で実行されるアプリケーションのコード内で暗号操作が行われている場合、専用 HSM を使用できます。 一般に、キー ストアとして HSM をサポートする IaaS (サービスとしてのインフラストラクチャ) モデルで実行される市販ソフトウェアでは、Dedicated HSM を使用できます。次のようなものです。

• キーのない TLS に対するトラフィック マネージャー
• ADCS (Active Directory 証明書サービス)
• 類似の PKI ツール
• ドキュメント署名に使用されるツール/アプリケーション
• コード署名
• EKM (拡張可能キー管理) プロバイダーを使用する HSM において、マスター キーを使った TDE (Transparent Database Encryption) によって構成されている SQL Server (IaaS)

いいえ。 専用 HSM は、お客様のプライベート IP アドレス空間に直接プロビジョニングされるため、他の Azure または Microsoft サービスからアクセスすることはできません。

はい。 各 HSM アプライアンスは完全に単一のお客様専用であり、一度プロビジョニングされて管理者パスワードが変更されると、他のユーザーには管理制御権がありません。

Microsoft は HSM に対して、管理制御または暗号制御を行うことはできません。 Microsoft では、温度やコンポーネントの正常性などの基本のテレメトリを取得するために、シリアル ポート接続経由で監視レベルのアクセス権を保持しています。 これにより、Microsoft では、正常性の問題に関する事前通知を提供しています。 必要に応じて、お客様はこのアカウントを無効にできます。

HSM デバイスには、既定の管理者ユーザーと通常の既定のパスワードが付属しています。 Microsoft は、デバイスがプール内でお客様によるプロビジョニングを待っている間、既定のパスワードが使用されるのを望みませんでした。 これは、弊社の厳密なセキュリティ要件を満たしません。 このため、プロビジョニング時に破棄される強力なパスワードが設定されています。 また、プロビジョニング時には、"tenant admin" という名前の管理者ロールで、新しいユーザーが作成されます。 このユーザーには既定のパスワードが設定されており、お客様は、新しくプロビジョニングされたデバイスに初めてログインするときに、最初のアクションとしてこれを変更します。 このプロセスにより、高度なセキュリティが確保され、お客様に対する唯一の管理制御という約束が維持されます。 お客様がそのアカウントの使用を希望される場合、"tenant admin" ユーザーを使って管理者ユーザーのパスワードをリセットできることに注意する必要があります。

いいえ。 お客様に割り当てられている専用 HSM に格納されたキーに対しては、Microsoft はアクセス権を保持しません。

いいえ。 Azure Dedicated HSM は、リース サービス用のベアメタル HSM です。 サービスにお客様のデータは保存されません。 すべてのキー マテリアルとデータは、お客様の HSM アプライアンス内に格納されます。 各 HSM アプライアンスはただ 1 つのお客様に専用であり、その管理はお客様が完全に制御します。

別のファームウェア バージョンの特定の機能が必要な場合、お客様には、ソフトウェア/ファームウェアのアップグレードを含めた完全な管理制御権があります。 変更を加える前に、HSMRequest@microsoft.com に連絡して、アップグレードについて Microsoft にお問い合わせください

SSH を使ってアクセスすることで、専用 HSM を管理できます。

HSM およびパーティションの管理には、Thales の HSM クライアント ソフトウェアが使用されます。

お客様は、syslog および SNMP 経由で HSM アクティビテ ログへのフル アクセス権を保持しています。 HSM からログまたはイベントを受信するには、お客様が syslog サーバーまたは SNMP サーバーをセットアップする必要があります。

はい。 HSM アプライアンスから syslog サーバーにログを送信することができます。

はい。 高可用性の構成とセットアップは、Thales が提供する HSM クライアント ソフトウェアで実行されます。 同一リージョン内またはリージョン間での同じ VNET または別の VNET からの HSM や、サイト対サイトまたはポイント ツー ポイントの VPN を使用して VNET に接続されているオンプレミス HSM は、同じ高可用性の構成に追加できます。 これによってキー マテリアルのみが同期し、ロールなど特定の構成項目は同期されないことに注意する必要があります。

はい。 これらは、Thales Luna 7 HSM の高可用性の要件を満たしている必要があります。

いいえ。

メンバー数が 16 の HA グループに対して非常に厳しいテストを行い、すばらしい結果が出ています。

専用 HSM サービスで保証されている特定の稼働時間はありません。 Microsoft では、デバイスへのネットワーク レベルのアクセスを保証しているため、標準の Azure ネットワーク SLA が適用されます。

Azure データセンターにおいて、物理上および手続き上のセキュリティ制御が詳細に行わています。 さらに、専用 HSM は、データセンター内でもアクセスがより制限されたエリアでホストされています。 これらのエリアでは、セキュリティ強化のために詳細な物理アクセス制御やビデオ カメラによる監視が行われています。

専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスが使用されます。 これらのデバイスは、物理的および論理的な改ざんの検出をサポートしています。 改ざんが行われた場合、HSM は自動的にゼロ埋めされます。

オンプレミス HSM バックアップ デバイスを使用して、ディザスター リカバリーのために HSM の日常的な定期バックアップを実行することを強くお勧めします。 HSM バックアップ デバイスに接続されているオンプレミス ワークステーションに対しては、ピアツーピアまたはサイト間のVPN 接続を使用する必要があります。

サポートはマイクロソフトと Thales の両方で提供されます。 ハードウェアまたはネットワーク アクセスの問題がある場合は、Microsoft にサポート リクエストを出してください。HSM 構成、ソフトウェア、およびアプリケーション開発の問題がある場合は、Thales にサポート要求を出してください。 問題が不明な場合は、マイクロソフトにサポート要求を出してください。その後、必要に応じて Thales が対応できます。

サービスに登録すると、Thales カスタマー サポート ポータルに登録するための Thales カスタマー ID が提供されます。 これによって、すべてのソフトウェアとドキュメントにアクセスできるようになり、Thales に直接サポート リクエストを出せるようになります。

Microsoft では、お客様に割り当てられている HSM に接続することはできません。 お客様が HSM をアップグレードして、修正プログラムを適用する必要があります。

HSM にはコマンド ラインの再起動オプションがありますが、再起動が断続的に応答を停止する問題が発生しているため、安全に再起動できるように、Microsoft にサポート リクエストを送信してデバイスの物理的な再起動を依頼することをお勧めします。

はい。専用 HSM では、FIPS 140-2 レベル 3 への準拠が検証された Thales Luna 7 HSM がプロビジョニングされます。

専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスがプロビジョニングされます。 これにより、次に示すような幅広い暗号化キーの種類とアルゴリズムがサポートされます。フル スイート B のサポート

• 非対称:
  • RSA
  • DSA
  • Diffie-Hellman
  • 楕円曲線
  • 名前付き、ユーザー定義、Brainpool 曲線、KCDSA による暗号化 (ECDSA、ECDH、Ed25519、ECIES)
• 対称:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA、SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • ハッシュ/Message Digest/HMAC: SHA-1、SHA-2、SM3
  • キー派生: SP 800-108 カウンター モード
  • キー ラッピング: SP 800-38F
  • 乱数生成: FIPS 140-2 承認済み DRBG (SP 800-90 CTR モード)、BSI DRG.4 に準拠

はい。 専用 HSM サービスでは、FIPS 140-2 レベル 3 への準拠が検証された Thales Luna 7 HSM モデル A790 アプライアンスがプロビジョニングされます。

専用 HSM サービスでは、Thales Luna 7 HSM アプライアンスがプロビジョニングされます。 これらのデバイスは、FIPS 140-2 レベル 3 への準拠が検証された HSM です。 また、展開されている既定の構成、オペレーティング システム、およびファームウェアも、FIPS 検証済みになっています。 FIPS 140-2 レベル 3 に準拠するために、何らかの操作を行う必要はありません。

プロビジョニング解除を要求する前に、Thales が提供する HSM クライアント ツールを使用して、お客様が HSM をゼロ埋めしておく必要があります。

専用 HSM では、Thales Luna 7 HSM がプロビジョニングされます。 一部の操作の最大パフォーマンスの概要を以下に示します。

• RSA-2048: 1 秒あたり 10,000 トランザクション
• ECC P256: 1 秒あたり 20,000 トランザクション
• AES-GCM: 1 秒あたり 17,000 トランザクション

使用される Thales Luna 7 HSM モデル A790 には、サービス料金に 10 個のパーティションのライセンスが含まれます。 デバイスのパーティションの制限は 100 個です。この制限を上回るパーティションを追加すると、余分なライセンス コストが発生し、デバイスに新しいライセンス ファイルのインストールする必要があります。

キーの最大数は使用可能なメモリの機能です。 使用される Thales Luna 7 モデル A790 には、32 MB のメモリがあります。 非対称キーを使用している場合は、次の数がキーのペアにも適用されます。

• RSA-2048 - 19,000
• ECC-P256 - 91,000

キー生成のテンプレートに設定された特定のキー属性とパーティション数に応じて、キャパシティは変化します。