HSM(ハードウェアセキュリティモジュール)|情報処理安全確保支援士 シラバス準拠予想問題Ⅰ 問6
出典:3-1:暗号利用及び鍵管理| ハードウェアセキュリティモジュール(HSM),TPMに関する知識
分野:セキュリティ / 情報セキュリティ
HSM(ハードウェアセキュリティモジュール)の説明として,最も適切なものはどれか。
- ア:PCやサーバの基板上に搭載され,起動時の構成情報や暗号鍵を保護し,プラットフォームの信頼性確認に利用されるチップである。
- イ:利用者が携帯するカード内で秘密鍵や証明書を保持し,認証や電子署名の処理に利用される小型の耐タンパデバイスである。
- ウ:暗号鍵の生成,保管,暗号処理を物理的に保護された専用装置内で行い,鍵の漏えいや不正利用を防ぐための装置である。
- エ:記憶媒体全体又は特定の領域を暗号化し,媒体の紛失や盗難時に保存データの漏えいを防ぐための仕組みである。
TSUNAGARU-ADVICE
まず押さえたいこと
HSMは、暗号鍵の生成・保管・暗号処理を、物理的に保護された専用装置の中で行うための装置です。鍵を汎用サーバのメモリやファイル上で扱うのではなく、耐タンパ性を備えた安全な領域内で鍵を保護する点が重要です。
迷ったときの判断軸
PCやサーバの基板上で起動時の信頼性確認などに使われるものはTPM、利用者が携帯するカード内で秘密鍵や証明書を保持するものはスマートカードです。また、媒体全体を暗号化して紛失時の漏えいを防ぐものは暗号化ストレージです。HSMは、組織の重要な暗号鍵を専用装置で集中保護する仕組みと判断しましょう。
科目Bにつなげるために
科目Bでは、認証局・決済システム・電子署名基盤・クラウド鍵管理などで、秘密鍵をどこで生成・保管・使用するかが問われることがあります。HSMは、秘密鍵を装置外へ出さずに暗号処理を行うための対策として整理しておきましょう。
HSMは、Hardware Security Moduleの略で、暗号鍵の生成・保管・暗号処理を物理的に保護された専用装置内で行うための装置です。
暗号鍵を通常のサーバ上にそのまま置くのではなく、耐タンパ性を備えた専用装置内で扱うことで、鍵の漏えいや不正利用を防ぎやすくします。電子署名・決済・認証基盤など、重要な暗号鍵を安全に管理する場面で利用されます。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:PCやサーバの基板上に搭載され,起動時の構成情報や暗号鍵を保護し,プラットフォームの信頼性確認に利用されるチップである。
⇒TPMの説明です。TPMはPCやサーバの基板上に搭載され、プラットフォームの信頼性確認や鍵の保護などに使われます。HSMは、暗号鍵の生成・保管・暗号処理を専用装置内で安全に行う装置です。
イ:利用者が携帯するカード内で秘密鍵や証明書を保持し,認証や電子署名の処理に利用される小型の耐タンパデバイスである。
⇒スマートカードの説明です。スマートカードも耐タンパ性を備え、秘密鍵や証明書を保持できますが、HSMは主にサーバ側や組織の基盤で重要な暗号鍵を集中管理し、暗号処理を行う専用装置です。
エ:記憶媒体全体又は特定の領域を暗号化し,媒体の紛失や盗難時に保存データの漏えいを防ぐための仕組みである。
⇒ディスク暗号化やストレージ暗号化の説明です。保存データの漏えい対策として有効ですが、HSMのように暗号鍵の生成・保管・暗号処理を物理的に保護された専用装置内で行う仕組みではありません。