nShield Connect HSMs

タレスの「nShield Connect HSM」は、多数のサーバや仮想マシンに分散したアプリケーションに暗号鍵サービスを提供する、ネットワーク対応の認証済みアプライアンスです。

nShield Connect

nShield Connect HSMは、ネットワーク上の様々なアプリケーションに暗号鍵サービスを提供する、認証済みのハードウェア・セキュリティ・アプライアンスです。耐タンパ性のプラットフォームで、暗号化やデジタル署名、鍵の生成と保護を行います。これらの機能は、認証局やコード署名をはじめとした幅広い用途に対応することが可能です。

nShield Connectシリーズには、nShield Connect+のほか、優れた対称暗号化および非対称暗号化機能と、最高水準のECC(楕円曲線暗号)トランザクションレートを実現するnShield Connect XCがあります。

柔軟性の高いアーキテクチャ

nShield Connect HSMには、定評のあるタレス独自のSecurity Worldアーキテクチャが組み込まれています。用途にあったHSMを組み合わせることにより、拡張性とシームレスなフェイルオーバー、負荷分散を実現する統合型エコシステムを構築することができます。

多くのデータをより高速に処理

業界最高水準の暗号化トランザクションレートに対応しており、企業や小売店、IoTなど、スループットが重要とされる環境に最適です。

企業独自のアプリケーションとデータを保護

nShield Connect HSMは、鍵とデータだけでなく、アプリケーション動作環境の保護も実現します。CodeSafeオプションにより、アプリケーションと処理されるデータを保護しつつ、nShieldの境界内でコードを実行することができます。

認証済みのハードウェア・ソリューション

タレスのnShield製品は様々な認証を取得しています。これらの認証は、コンプライアンスの準拠を外部に示すとともに、お使いのnShield HSMが厳しい基準をクリアしていることへの品質保証にもなります。

セキュリティコンプライアンス:

  • FIPS 140-2 Level 2およびLevel 3
  • USGv6認定
  • コモンクライテリアEAL4+(AVA_VAN.5)(nShield Connect+ モデル向け)
  • 適格電子証明生成デバイス(QSCD)認定(nShield Connect+)

安全性および環境基準へのコンプライアンス:

  • UL、CE、FCC、C-TICK、Canada ICES
  • RoHS2、WEEE
高いトランザクションレート

nShield HSMsは、楕円曲線暗号(ECC)およびRSAトランザクションのレートの高さを誇っています。最も効率的な暗号化アルゴリズムの1つであるECCは、小型のセンサーやモバイルデバイスで実行されるアプリケーションなど、電力消費量が少ないことが重要な場合に最適です。

nShield Connectのモデル 500+ XC Base 1500+ 6000+ XC Mid XC High
NIST推奨の鍵長でのRSA署名性能(tps)
2048 ビット 150 430 450 3000 3500 8600
4096 ビット 80 100 190 500 850 2025
NIST推奨の鍵長でのECC Prime Curve署名性能(tps)
256 ビット 540 680 1260 2400 5500 14,400
APIや暗号化アルゴリズム、OSへの幅広いサポート

サポート対象API

  • PKCS#11、OpenSSL、Java (JCE)、Microsoft CAPIおよびCNG

サポート対象の暗号化アルゴリズム

  • 非対称公開鍵アルゴリズム:RSA、Diffie-Hellman、ECMQV、DSA、KCDSA、ECDSA、ECDH, エドワーズ曲線(X25519, Ed25519ph)
  • 対称アルゴリズム:AES、AES-GCM、ARIA、Camellia、CAST、RIPEMD160 HMAC、SEED、Triple DES
  • ハッシュ/メッセージダイジェスト:SHA-1、SHA-2(224、256、384、512ビット)、HAS-160
  • Brainpoolおよびカスタムカーブを含む、許可されたECCによる完全なSuite Bの実装

nShield HSMでは、これらの暗号化アルゴリズムの大部分を、標準機能として提供しています。ECCまたは韓国のアルゴリズムをお使いになる場合は、別途アクティベーションライセンス(オプション)が必要となります。

オペレーティングシステム

  • Microsoft Windows 7 x64、10 x64、Windows Server 2008 R2 x64、2012 R2 x64、2016 x64
  • Red Hat Enterprise Linux AS/ES 6 x64、6 x86、7 x64、5 x64(libc6.5)(限定サポート)、SUSE Enterprise Linux 11 x64 SP2、12 x64
  • Oracle Solaris 11(SPARC)、Oracle Solaris 11 x64
  • IBM AIX 7.1(POWER6、POWER8)、HP-UX 11i v3
  • Oracle Enterprise Linux 6.8 x64 および 7.1 x64

サポートする仮想環境:Microsoft Windows Hyper-V Server 2012 R2、2016、VMware ESXi 6.5、Citrix XenServer 6.5、AIX LPAR

信頼度
モデル MTBF(時間)
Connect XC 107,384
Connect+ 99,284

25度の動作温度で、Telcordia SR-332「電子機器の信頼度予測手順」におけるMTBF基準に基づいて算出。

パフォーマンスレートとオプション

タレス eセキュリティは、ご使用のアプリケーションで必要なパフォーマンスに対応するために、さまざまなnShield Connectモデルを用意しています(仕様タブ参照)。表示されているパフォーマンスモデルの中から選択してください。また、パフォーマンスの低いモデルから高いモデルに現地でアップグレードするオプションを購入することもできます。

クライアントライセンス

nShield Connect HSMには3つのクライアントライセンスが付属しており、それぞれのライセンスを1つのIPアドレスに紐付けることができます。追加のライセンスを購入することも可能です。サポートされるクライアントライセンスの最大数は、下記の表に示すとおり、nShield Connectのモデルによって異なります。

Connectモデルごとの最大クライアントライセンス数 XC Base/ 500+ XC Mid/ 1500+ XC High/ 6000+
クライアントライセンスの最大数 10 20 100
nShield Web Services Option Pack

Web Services Option Packでは、nShield Web Services Crypto APIを利用してアプリケーションとnShield暗号化サービスを簡単に連携できます。このAPIを利用すれば、クラウド、データセンター、またはオンプレミスのアプリケーションが、nShieldのデータ保護ソリューションにアクセスできるようになります。クライアントサイドでアプリケーションを統合する必要はありません。

CipherTrust Monitor

CipherTrust Monitorは、監視プラットフォームとして、payShieldやnShield HSMの状態を24時間365日確認します。このソリューションを利用することにより、セキュリティチームは効率的にHSMを検査し、ミッションクリティカルなインフラストラクチャを危険にさらす可能性がある、セキュリティ、設定、または使用方法に関する問題を迅速に検出できます。

Remote Administration Kits

Remote Administration Kits

nShield Remote Administrationは、分散したnShield HSMを管理(アプリケーションの追加、ファームウェアのアップグレード、状態の確認、リブートなど)することができます。USB接続によりオフィス内のPCにて操作を行うため、移動時間やコストを削減することができます。キットには、機器の設定と使用に必要なハードウェアとソフトウェアが入っています。このキットは、nShield SoloとnShield ConnectのHSMで利用が可能です。

CodeSafe

CodeSafeは、アプリケーションをnShield HSMの安全な境界内で実行できるようにする、強力で安全な開発環境です。アプリケーションの例としては、デジタルメーター、認証エージェント、デジタル署名エージェント、カスタム暗号化プロセスなどがあります。CodeSafeは、FIPS 140-2 Level 3の認定を受けたnShield SoloおよびnShield Connect HSMで利用できます。

CipherTools Developer Toolkit

CipherTools Developer Toolkitは、チュートリアル、リファレンス・ドキュメント、サンプル・プログラム、追加ライブラリがセットになっているため、nShield HSMの高度な統合機能を利用することができます。本ツールキットでは標準APIをサポートしているほか、nShield HSMを使用してカスタムアプリケーションを管理することもで可能です。

Database Security Option Pack

組織にとって最重要なデータベース内のデータの保護をサポートするため、大手ベンダーではこれまで自社製品にネイティブの暗号化機能を実装してきました。 タレスでは上記に加えてMicrosoftのExtensible Key Management(EKM)APIをサポート。これにより、Microsoft SQL Server内の鍵をより確実に保護することができるようになります。

nToken

nToken

nTokens PCIe カードを使用すると、ハードウェアベースのホスト識別と検証が可能となり、nShield Connect HSMクライアントの認証を更に強化することができます。

ECC(楕円曲線暗号)アクティベーション

nShield HSMでEC-DH、EC-DSAおよびEC-MQVを使用することができます。

KCDSAアクティベーション

KCDSA(Korean Certificate-based Digital Signature Algorithm)のほか、HAS-160、SEEDおよびARIAアルゴリズムをnShield HSMで使用することができます。

スライドレール

Slide Rails

タレスでは、オプションのスライドレールを提供しています。このスライドレールを使用すると、シェルフを使用せずにnShield Connectを19インチラックに取り付けることができます。他社製の製品は互換性がない場合があるため、純正のスライドレールを使用することを推奨しています。

キーボード

Keyboard

nShield Connect HSMは、ユニット前面のタッチホイールを使用して簡単に機能の選択・実行ができます。また、オプションのUSBキーボードも提供しています。

現場で交換可能なパーツ

nShieldには、システムを停止せずにオペレーターが現場で交換できるパーツが用意されています。以下のパーツがあります。

  • 電源ユニット(PSU)
  • ホットスワップ対応のデュアル電源

  • 交換用ファントレイ
  • 現場で交換可能な冗長ファン

ホワイトペーパー :Thales Security World(英語)

Thales Security Worldアーキテクチャは、汎用のハードウェアセキュリティモジュール(HSM)であるnShieldファミリー全体を対象とした特殊な鍵管理フレームワークをサポートしています。高性能で共有可能なネットワーク接続HSMアプライアンス、ホスト組み込みのHSMカード、USB接続のポータブルHSMのいずれを導入する場合でも、Security Worldアーキテクチャは、管理者およびユーザー間で統合された操作性を実現し、お客様が導入しているハードウェアやデバイスが何台であっても相互運用性を保証します。

ダウンロード

White Paper : Key Isolation for Enterprises and Managed Service Providers

It is vital for any business that relies on cryptographic keys to have assurances and enforceable policies around key usage. The nShield family of Hardware Security Modules (HSMs) provides that assurance. The Security World key management framework, supported by the nShield HSM family, enables organizations to create a structured key infrastructure that meets today’s dynamic and fluid requirements.

This paper demonstrates how it is possible to easily configure Security World to define a framework which permits both partitioning and multi-tenancy cryptographic key isolation strategies.

ダウンロード

データシート :CodeSafeデータシート(英語)

CodeSafe は、nShield HSM内の安全な実行環境でアプリケーションを実行できるようにする、ソフトウェアツールセットです。

ダウンロード

データシート :Remote Administration(英語)

nShield Remote Administrationは、ご使用のリモートHSMとローカルのRemote AdministrationカードおよびTVDとの間で安全な接続を実現します。

ダウンロード

データシート :CipherTrust Monitor

CipherTrust Monitorは、24時間365日すべてのThales HSMを一元的に監視できるツールです。

ダウンロード

データシート :Web Services Option Pack(英語)

このAPIを使用すれば、クラウド、データセンター、またはオンプレミスのアプリケーションとnShield暗号化サービスを簡単に連携できるため、アプリケーションを統合する必要がなくなり、シンプルになります。

ダウンロード
インタラクティブなデモを閲覧する デモ
ライブデモの申し込み デモの申し込み
スペシャリストへのコンタクト お問い合わせ