日本セーフネットは2013年5月23日、物理的な手段で暗号鍵の漏えいを防止するHSM(ハードウエアセキュリティモジュール)機器「Luna SA」(写真)を強化し、ソフトウエア部分に仮想化技術を適用した。これにより、1台の物理的なLuna SAを論理的に複数台のHSMとして使えるようになった。これまで部門や拠点ごとに分散していたHSMのハードウエアを1台に集約できる。
前提となるLuna SAとは、情報システムで利用する暗号鍵を物理的な手段で守るHSM機器である。外観は普通の2Uラックマウント型サーバー機だが、ケースを破壊して暗号鍵を取り出そうとすると、自動的にデータが消えてしまう、といった物理的なセキュリティが施されている。暗号鍵を利用する情報システムは、その都度Luna SAから暗号鍵を取り出して使う。
業務システムが暗号鍵ファイルにアクセスする手段は、大きく三つある。一つは、ローカルのファイルシステムとして暗号鍵ファイルを読み込む方法。もう一つはNAS(NFS)としてファイルシステム上の暗号鍵ファイルを読み込む方法。三つ目は、APIライブラリー(C/Java)を組み込んだプログラムからAPI経由で読み込む方法。例えば、WebサーバーがSSLサーバー証明書の秘密鍵をLuna SAのファイルシステムから読み出す、といった具合である。
今回、Luna SAのソフトウエアアーキテクチャーを刷新し、独自の仮想化基盤「Crypto Hypervisor」を搭載した。従来はHSMを必要とするユーザーの数だけLuna SAの台数が必要になっていたが、Crypto Hypervisorを使うと、1台のLuna SAを論理的に複数台のHSMとして運用できるようになる。Crypto Hypervisorの上で、複数台の仮想的なHSM(仮想アプライアンス型のHSM)が動作する。
価格は、売り切り型の場合で1台600万円程度から。このほかに、クラウドサービス事業者向けのライセンス(売り上げ額に応じて課金するライセンス)も用意した。クラウドサービス事業者が採用した先行事例としては、米Amazon Web Services(AWS)が2013年4月に、Luna SAのCrypto Hypervisorを用いたHSMの動的配備サービス「AWS CloudHSM」を提供している。オーダーに応じてHSM機能をユーザー企業に払い出すサービスである。
