AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS CloudHSMは、クラウド上で専有（シングルテナント）のハードウェアセキュリティモジュール（HSM）を提供するサービスです。暗号鍵の生成・保管・利用を、ユーザーが完全に制御できる専用ハードウェア内で行います。

FIPS 140-2 レベル3認証を受けたHSMを使用し、厳格なコンプライアンス要件（金融・政府・規制業界）に対応します。AWSでさえ鍵にアクセスできない、完全な顧客管理が特徴です。

2. 主な特徴と機能

2.1 専有ハードウェア（シングルテナント）

共有型のKMSと異なり、HSMはユーザー専用。鍵の管理と監査を完全にユーザーが掌握します。

2.2 業界標準API

PKCS#11・JCE（Java）・CNG/KSP（Microsoft）等の標準暗号APIに対応。既存アプリケーションとの統合が容易。

2.3 主な暗号処理

• 対称鍵・非対称鍵の生成と保管。
• 暗号化・復号、デジタル署名・検証。
• SSL/TLSオフロード、証明書発行（プライベートCA）、データベース暗号化（TDE）。

2.4 高可用性とスケーリング

複数AZにHSMを配置してHSMクラスターを構成。クラスター内のHSMは自動で鍵を同期し、可用性と負荷分散を実現。

3. アーキテクチャおよび技術要素

• VPC内に配置: HSMはユーザーのVPC内のサブネットに配置され、ENI経由でアクセス。
• HSMクラスター: 複数AZにHSMを分散して高可用性を確保。
• クライアントSDK: アプリケーションサーバーにCloudHSMクライアントを導入してHSMと通信。
• KMSカスタムキーストア: CloudHSMをKMSのカスタムキーストアとして利用し、KMSのAPIを使いながら鍵をHSMで保管できる。

4. セキュリティと認証・認可

• 顧客による完全な制御: 鍵の管理はユーザーが行い、AWSは鍵にアクセスできない。
• FIPS 140-2 レベル3: 物理的な改ざん防止・耐タンパー性を備えた認証済みハードウェア。
• ユーザー認証: HSM内のCryptoUser（CU）・Crypto Officer（CO）等のHSMユーザーで認証・認可を管理。

5. 料金形態

• HSMインスタンスの稼働時間（時間あたり）。
• クラスター内のHSM数に応じて課金。

6. よくあるアーキテクチャ・設計パターン

• 規制対応の鍵管理: FIPS 140-2 レベル3が要求される金融・政府系ワークロードの鍵保管。
• SSL/TLSオフロード: WebサーバーのTLS処理をHSMにオフロードして秘密鍵を安全に保護。
• プライベートCA: 証明書発行のルート鍵をHSMで保護。
• KMSカスタムキーストア: KMSの使いやすさとHSMの専有性を両立。

7. 設定・デプロイ手順（ハンズオン例）

1. VPC内にCloudHSMクラスターを作成→各AZのサブネットにHSMを追加。
2. クラスターを初期化（CSRに署名してクラスター証明書を設定）。
3. アプリケーションサーバーにCloudHSMクライアントSDKをインストール。
4. HSMユーザー（CU/CO）を作成し、PKCS#11等のAPIで鍵生成・暗号処理を実行。

8. 試験で問われやすいポイント