以降 JSUC と略記、short URL: https://ibm.co/3fV3qzE)とは、お客様やビジネス・パートナー様とIBM専門家が連携し、ストレージについて学び、アドバイスやベストプラクティスを仲間と共有し、製品やコミュニティー・イベントに関する情報を得るためのものです。どなたでも自由にご参加いただけますので是非ご参加ください。JSUCへの登録ガイドはこちらです。
注: 当該グループ上でご紹介する情報は、日本アイ・ビー・エム(株)が必ずしも正式なレビューを行ったものではありません。
ストレージ保存データの暗号化を実装することにより、LTO などのテープ・カートリッジや、ブロックストレージデバイスを構成するハードディスク/フラッシュメモリのデータ保存メディアが盗難被害に遭う、あるいは故障による交換作業により持ち出されたような場合にも、内部に保存されたデータが外部へ漏洩することを防止します。更にはストレージ機器更改での古い機器を廃棄する際にも情報漏洩の危険を防止するための手段と成り得ます。IBM ではストレージ保存データ暗号化で利用する暗号鍵を一元管理するための製品として、 IBM Security Guardium Key Lifecycle Manager (GKLM) を提供しています。またGKLMの導入からストレージ保存データ暗号化を実装するための設定、テストまでを含めた構築サービスも提供しています。 GKLM は保存データ暗号化で利用するための暗号鍵をストレージ機器とネットワーク越しで受け渡しするので、ストレージ機器と異なる場所に暗号鍵が保存される状態となり、暗号化したデータを保存しているストレージ機器内に暗号鍵が保存されている状態に比べてより安全に保存データを保護することが可能となります。 GKLM がサポートするストレージデバイスやソフトウェアにはどのようなものがあるのかについては、次のホームページに掲載されていますので参考にしていただければと思います。https://www.ibm.com/support/pages/ibm-security-guardium-key-lifecycle-manager-supported-storage-and-non-storage-devicesまたこのページに記載されている内容について、(筆者の独断で)分かりにくいと思える部分について、少しだけ次のように説明させていただきます。
まずページの冒頭、次のように “Any KMIP-based product” と出てきますが、
この KMIP (Key Management Interoperability Protocol) とは、詳細な定義はここでは割愛しますが簡単に説明すると、GKLM のような鍵管理サーバを利用した保存データ暗号化の設定操作を、簡単に行えるようにするためのものとなります。すなわち KMIP をサポートするストレージ機器やソフトウェア (以下、鍵クライアント)が利用しようとする暗号鍵の追加や、暗号鍵の受け渡しなどを行うネットワーク暗号化通信で利用する証明書の追加などの操作を、GKLM などの鍵管理サーバを直接操作しなくても鍵クライアント側から操作できるものとなります。なお、KMIP を利用可能であるかどうか、利用可能な場合鍵管理サーバに対してどのような操作を行えるのかについてはそれぞれ鍵クライアントとなる各製品に依存します。ページを少し下の方へ移動すると、GKLM を利用して保存データ暗号化を実装できる機器の一覧表があります。
この表の右側にある列 “Base device group in SKLM/GKLM” は、 各行に書かれているストレージ機器に対応する、GKLM の設定項目であるデバイスグループにどのようなものを利用するのか、を表しています。
このデバイスグループとは、暗号鍵を要求する鍵クライアントの識別方法や利用する暗号鍵の種類が鍵クライアントの製品毎に異なるため、各製品に対応したデバイスグループを表に示していることとなります。 例えば、LTO テープドライブを搭載するテープライブラリ※1の場合は、デバイスの識別方法としてテープドライブのシリアルナンバーが主に利用され、利用する暗号鍵には対象鍵※2を利用します。また、IBM FlashSystem の場合は、デバイスの識別方法として、FlashSystem の暗号化設定時に指定する証明書を識別のために利用し、利用する暗号鍵には対象鍵を利用します。このように鍵クライアントの識別方法や管理する暗号鍵の種類の違いに対応する方法として GKLM ではデバイスグループを使用しています。 GKLM のデバイスグループの設定には、登録済みの機器にのみ暗号鍵を提供する、暗号鍵を要求してきた機器に暗号鍵の提供をして良いかどうかの確認ができるまで鍵の送信を保留する、暗号鍵を要求する機器全てに提供する、なども設定することができるので、ストレージ機器の内容や、保存データ暗号化の運用方針などに合わせて暗号鍵の提供方針を変更することもできます。 GKLM を利用して保存データの暗号化ができるストレージデバイスにはどのようなものがあるのかを示したホームページとその内容についての簡単な説明を掲載させていただきましたが、同ホームページに掲載される各ストレージ製品、ソフトウェア製品での暗号化ご検討の参考としていただけますと幸いです。※1一部例外があり、 IBM TS4300 Tape Library においては、証明書を利用した鍵クライアントの識別も行なわれます。
※2対象鍵:データの暗号化と復号の両方に利用される暗号鍵のことを対象鍵と呼びます。
Copy