暗号化

暗号化されたシステムへのアクセス

暗号化を有効にするには、その前にライセンスを購入して、システムで機能を構成する前にアクティブにしていることを確認してください。 システムでは、暗号化を構成するための 2 つの方式がサポートされます。システムでの暗号鍵の作成と管理を簡素化する集中型の鍵サーバーを使用できます。 セキュリティーのため、また鍵管理を簡素化するために、この方式の暗号鍵管理が推奨されます。さらに、システムは、USB フラッシュ・ドライブでの暗号鍵の保管をサポートしています。USB フラッシュ・ドライブ・ベースの暗号化を行うには、システムへの物理アクセスが必要であり、最小数のシステムを使用する環境で効果的です。USB フラッシュ・ドライブについて厳しいセキュリティー・ポリシーを必要とする組織の場合、携帯用メディア装置へのシステム・データの無許可の転送を防止するために、システムはこれらのポートの無効化をサポートします。そのようなセキュリティー要件がある場合は、鍵サーバーを使用して暗号鍵を管理してください。

ドライブに格納されているデータを暗号化するには、暗号化に対応しているノードが、ライセンス交付を受けており、暗号化を使用するよう構成されている必要があります。システムで暗号化がアクティブ化されて有効になっている場合、システムがドライブのロックを解除する際、あるいはユーザーが新しい鍵を生成する際に、システム上に有効な暗号鍵が存在している必要があります。鍵サーバー暗号化がシステムで有効になっている場合、鍵は鍵サーバーから取得されます。USB 暗号化がシステムで有効である場合、暗号鍵は、暗号化が有効なときに生成された鍵のコピーが入っている USB フラッシュ・ドライブに格納する必要があります。

クラウド・ストレージにコピーされるデータを保護するのに暗号化を使用している場合、クラウド・アカウントは、常に、システム暗号化設定と同期されます。USB フラッシュ・ドライブと鍵サーバーの両方が構成されている場合、作成されるクラウド・アカウントは、それらの方式の両方をサポートします。一方の暗号化方式のみが構成されており、もう一方の方式が使用不可の場合、クラウド・アカウントは、残りの構成済み暗号化方式で暗号化をサポートします。クラウド・アカウントが暗号化を確実にサポートするようにするために、クラウド・アカウントの作成時に、アクティブな鍵を使用して一方または両方の方式を構成する必要があります。

クラウド・アカウントが一方の暗号方式で作成された場合、後で、2 番目の方式を構成することはできますが、構成中、クラウド・アカウントがオンラインになっている必要があります。2 番目の方式が構成された後で、クラウド・アカウントは両方の鍵プロバイダーをサポートします。

鍵サーバーを使用した暗号化

鍵サーバーは、暗号鍵を生成し、保管し、システムに送信する集中型システムです。 一部の鍵サーバー・プロバイダーは、複数の鍵サーバー間における鍵の複製をサポートします。複数の鍵サーバーがサポートされている場合、パブリック・ネットワークまたは独立したプライベート・ネットワークのいずれかを介してシステムに接続された鍵サーバーを最大 4 つまで指定することができます。 システムは、システム上での鍵管理を処理するために、IBM Security Key Lifecycle Manager 鍵サーバーまたは Gemalto SafeNet KeySecure 鍵サーバーをサポートします。これらのサポートされる鍵サーバー管理アプリケーションは、どちらもシステムの暗号鍵を作成および管理し、証明書によってこれらの鍵へのアクセスを提供します。システム上で有効にすることができる鍵サーバー管理アプリケーションは、一度に 1 つのタイプのみです。 システムと鍵サーバー間で証明書が交換されるときに認証が行われます。期限切れの証明書がシステム障害を起こす可能性があるため、証明書は厳重に管理する必要があります。鍵サーバーは、システムに定義される前にインストールして構成しておく必要があります。

IBM Security Key Lifecycle Manager 鍵サーバーでは Key Management Interoperability Protocol (KMIP) がサポートされます。これは、保管データの暗号化および暗号鍵の管理に関する標準です。

サポートされるバージョンについて詳しくは、IBM Security Key Lifecycle Manager IBM Knowledge Center を参照してください。

IBM Security Key Lifecycle Manager 鍵サーバー用に、システムに鍵サーバー・オブジェクトを作成する場合は、名前、IP アドレス、ポート、および証明書情報に加えてデバイス・グループを指定する必要があります。デバイス・グループ は、大規模なプール内のデバイスのサブセットに対する制限付き管理を可能にするセキュリティー資格情報の集合 (鍵と鍵のグループを含む) です。デフォルト設定を使用している場合、鍵サーバー上で SPECTRUM_VIRT デバイス・グループに対してシステムを定義する必要があります。SPECTRUM_VIRT デバイス・グループが鍵サーバー上に存在しない場合は、GPFS デバイス・ファミリーに基づいて作成する必要があります。複数の鍵サーバーを構成する場合は、1 次鍵サーバーおよび他のすべての鍵サーバーで SPECTRUM_VIRT デバイス・グループを定義する必要があります。

USB フラッシュ・ドライブを使用した暗号化

USB フラッシュ・ドライブを使用して、暗号化を有効にし、鍵をシステムにコピーすることができます。システム暗号鍵を作成し、それらの鍵をすべての USB フラッシュ・ドライブに書き込む必要があります。

USB フラッシュ・ドライブ上のキー情報にアクセスするには、2 つのオプションが使用可能です。

USB フラッシュ・ドライブをシステムに常時挿入したままにする

システムを自動的に再始動したい場合、USB フラッシュ・ドライブをシステム上のすべてのノードに挿入したままにする必要があります。 電源をオンにすると、すべてのノードが暗号鍵にアクセスできます。この方式では、システムが配置されている物理環境が安全であることが必要です。その場所が安全であれば、許可されていない人物が暗号鍵のコピーを作成したり、システムを盗んだり、システムに格納されているデータにアクセスしたりすることを防止できます。有効な暗号化鍵が入っている USB フラッシュ・ドライブが 2 つのキャニスターの両方に挿入されたままである場合、システムは、常に暗号鍵にアクセスすることができるため、ドライブ上のユーザー・データは、常にアクセス可能です。

必要な場合を除き、USB フラッシュ・ドライブをシステムに挿入したままにしない

最も安全な操作のためには、USB フラッシュ・ドライブをシステムのノードに挿入したままにしないようにしてください。ただし、この方式では、システムで暗号化鍵が存在することを必要とする操作時に、暗号鍵のコピーが入っている USB フラッシュ・ドライブを手動でノードに挿入する必要があります。鍵が入っている USB フラッシュ・ドライブは、盗難や紛失を防ぐために安全に保管する必要があります。システムで暗号鍵が存在することを必要とする操作時に、データにアクセスできるように、USB フラッシュ・ドライブを各ノードに手動で挿入する必要があります。システムでドライブのロック解除が完了したら、盗難や紛失を防ぐために USB フラッシュ・ドライブを取り外し、安全に保管する必要があります。

暗号化テクノロジー

データ暗号化は、IEEE 1619-2007 規格および NIST 特別刊行物 800-38E に XTS-AES-256 として定義されている、XTS モードの 256 ビット対称暗号鍵を使用した Advanced Encryption Standard (AES) アルゴリズムによって保護されています。このデータ暗号鍵は、それ自体が、USB フラッシュ・ドライブに保管されているアクセス・キーから派生した鍵の 256 ビット AES 鍵ラップで保護されます。ラップされた鍵は、不揮発性形式でシステムに格納されます。