CloudHSMとAWS KMSの違い

はじめに

AWSにはセキュリティ強化のための鍵管理サービスとしてCloudHSMと**AWS KMS (Key Management Service)**があります。

本記事では、それぞれの特徴とユースケースを紹介し、最後に違いを比較表としてまとめています。

CloudHSMは、AWSが提供するハードウェアセキュリティモジュール（HSM）サービスです。

コスト:
- HSMインスタンスごとに時間単位の料金が発生。
- 例えば、東京リージョンでは1時間あたり1.81 USDの費用がかかります。
  (料金詳細はこちら)
ユースケース:
- 規制対応: 暗号鍵の管理権限をAWSに渡せない環境（金融機関や政府機関）。
- カスタム暗号化: 独自の暗号化アルゴリズムやプロトコルを必要とするアプリケーション。
- オンプレミスとの統合: 既存のオンプレミスHSMと一貫性のある暗号化管理。

**AWS Key Management Service (KMS)**は、暗号鍵の管理と使用を簡素化するAWSのマネージドサービスです。

特徴:
- AWSによる完全マネージド型サービス。
- マスターキーの作成、ローテーション、使用ポリシーの設定が簡単。
- AWSサービスとの統合が強力（S3、EBS、RDSなど）。
- FIPS 140-2 レベル2準拠。
- カスタマー管理型キー（CMK）とAWS管理型キーの選択肢を提供。
- AWSが暗号鍵を管理し、操作はAWSサービスを通じて実行される。
- 費用効率が高い: 利用ベースの課金モデル。
- ユーザーが直接ハードウェアやキー管理の運用を行う必要がない。
コスト:
- カスタマーマネージドキーの作成と保管には、1キーあたり月額1 USDの料金が発生します。
- APIリクエストごとに追加料金が発生します。
  (料金詳細はこちら)
- AWS管理のキーの作成と保管には料金はかかりませんが、APIリクエストには課金されます。
ユースケース:
- AWSサービスの暗号化: S3やEBSなどでデータを暗号化。
- 鍵管理の簡素化: 暗号鍵のライフサイクル管理をAWSに任せる。
- アプリケーションの暗号化: AWS SDKを使用して暗号化をアプリケーションに統合。

以下に、CloudHSMとAWS KMSの違いを表形式でまとめました。

項目	CloudHSM	AWS KMS
管理責任	ユーザーがHSMデバイスを管理し、暗号鍵を完全に制御	AWSが完全に管理
暗号鍵へのアクセス権	AWSはアクセス不可（ユーザーが完全管理）	AWSがアクセス可能だが、暗号化オペレーションはAWSで実行
規制対応	高度な規制対応が必要な環境に適している	一般的なクラウドセキュリティ要件に適している
FIPSレベル	FIPS 140-2 レベル3	FIPS 140-2 レベル2
サポートするアルゴリズム	カスタムアルゴリズムや標準API（PKCS#11、JCEなど）	主に標準化されたAWSサービス向けの暗号化アルゴリズム
費用	高額（専用HSMデバイスの利用と管理が必要、1時間あたり1.81 USD）	利用料金は安価でスケーラブル
AWSサービスとの統合	必要に応じてユーザーが設定	ネイティブに統合（S3、EBS、Lambdaなど）
主なユースケース	カスタム暗号化、規制対応、オンプレミス統合	AWSリソースの暗号化、鍵管理の簡素化