ProVision

 View Only

サステナブルなITによるDX推進(第3回) ― レジリエンシーにおけるIBM zSystemsのイノベーション ―(vol98-0009-mainframe)

By IBM ProVision posted Fri November 04, 2022 07:31 AM

  
レジリエンシーにおけるIBM zSystemsのイノベーション。日々変化する環境へ率先してテクノロジーをアップデートする重要性を最新セキュリティー・ソリューションとともに解説します。
Takeyoshi.jpg"
竹吉 俊輔
Takeyoshi Shunsuke
日本アイ・ビー・エム株式会社 
テクノロジー事業部 アドバイザリーITスペシャリスト
2002年入社。金融のお客様の安定稼働を目的とした品質検証部門に在籍しながら、数々の銀行の基幹システム構築や災害対策システムの構築に従事。2020年からテクニカルセールスに在籍し、保険や金融のお客様を中心にメインフレームに関する最新技術の検証や啓蒙活動を実施。専門は信頼性、災害対策、セキュリティー。

IBM zSystems [1] は現在も世界中のお客様の基幹業務を支えているメインフレームです。本稿では IBM zSystems をモダナイゼーションし、サステナブルな IT に位置付けることで、お客様のデジタル・トランスフォーメーションを推進する方法を論じます。今号は全5回シリーズの第3回として、レジリエンシー分野におけるイノベーションについて述べます。

レジリエンシー分野におけるサステナビリティーとは
本シリーズはサステナブルなITという観点をテーマにメインフレームを述べるシリーズです。レジリエンシーの分野におけるサステナビリティーとはどういうことでしょうか。
レジリエンシーとは、回復力、復元力という意味で、システムが何らかの障害や災害、サイバー攻撃などの脅威に見舞われた際に、迅速に正常な状態に復旧することを意味する用語です。レジリエンシーは主に障害や災害に対するビジネス・コンティニュイティーの分野と、サイバー攻撃に対するセキュリティーの分野に分けられます。ミッション・クリティカルな分野を任されたIBM zSystemsに最もお客様が期待していることは、「重要な業務を絶対に止めないこと」「お客様の大事な資産を将来に亘って守り抜くこと」、つまりレジリエンシー能力です。
サステナビリティーとは「持続可能性」です。お客さまのビジネス状況やITを取り巻く環境は日々刻々と変化しています。目まぐるしく変化する外的環境の中で、お客様にとって一番重要な事柄であるレジリエンシーを将来に渡って変わらず持続していくには何が必要でしょうか。
それは、変化する環境に適応して、テクノロジーもアップデートし続けることです。大事な資産を守り抜くという変わらない目標のために日々変わり続けること。逆説的ではありますが、これがあるべき姿ではないでしょうか。特にセキュリティーの分野はご存知の通り「いたちごっこ」の側面が強く、一度対策すれば万事OKという万能薬のようなものはありません。進化し続ける脅威に対して、適切に、かつ確実に、対応し続ける必要があります。本稿ではレジリエンシーの中でも特にセキュリティーのエリアにフォーカスし、この分野におけるサステナビリティーを論じます。

メインフレームのセキュリティーは万全か
メインフレームを使ってさえすればセキュリティーは安心だと信じられていましたが、本当にそれだけで安全でしょうか?メインフレームは他のサーバーと比較して相対的にセキュリティーに強いインフラであることは間違いありません。システム基盤要素のあらゆるレベルで、セキュリティーを確保する仕組みを埋め込むIBMの設計思想(Secure by Design)を踏まえて開発を継続してきました。ハードウェアとしてはLPARの独立性ではEAL5+認証を取得し[2]、同一筐体であっても他LPARへの侵入は不可能とされています。またOSでは1973年にセキュリティー確保を念頭に置いてOSを開発することを宣言(Statement of Integrity)し、それ以降、各コンポーネントを開発するときに客観的な指標でシステムのセキュリティー対策の効果を見える化しています[3]。 例えばz/OSはOSが開発された当初から実メモリーの4Kバイト毎に保護キーをセットし、キーが異なるとそのエリアに読み書きができないアーキテクチャーになっています。いわゆるバッファー・オーバーフロー攻撃[4]ができないような構造となっているわけです。またユーザーの認証、アクセス制御、監査報告など、セキュリティーに必要な機能を一通り兼ね備えた中央集権型のResource Access Control Facility (RACF) [5]という非常に優れたコンポーネントがz/OSには存在し、長きに渡ってお客様の重要なシステムを守ってきました。
一方で、セキュアなハードウェアや優れたOSを使ってさえすれば安心というようなことはありません。ソフトウェアやアプリケーションに理論的に内在する脆弱性に関しては、他の分散系サーバーと同様に対策を講じる必要があります。またユーザーの意図しないエラーやソーシャル・ハッキングによって仮にユーザーIDやパスワードが流出してしまったら、いくらメインフレームといえど侵入されてしまうリスクがあります。
zSystemsはセキュリティーのフラグシップ・モデルですが、zSystemsを使ってさえいれば何もしなくても安全というわけでは無いのです。ゼロトラスト・セキュリティーの原則に則り、データの暗号化やあらゆるアクセス・ログの取得、多要素認証など、メインフレームといえど対応すべき対策は行う必要があります。その上で、今後予想される新たなセキュリティー・リスクに対応する、さらに一段階高いセキュリティーレベルを実現する様々な最新のセキュリティー・ソリューションがzSystemsには用意されています。
これらのソリューションを支えるのがzSystemsに搭載されている専用のハードウェア機構です。暗号化に使用する鍵を管理するHSM(Hardware Security Module: zSystemsでの製品名としてはCrypto Express)[6]は非常に優れた耐タンパー機能を有し、何らかの外部からの盗聴行為を検知すると内部データを全て消去し、絶対に鍵情報を漏洩させることがありません。Crypto Expressは第三者機関による最高レベルの認証(FIPS 140-2 level 4)を取得しています[7]。また各プロセッサーには暗号化専用CPACF(CP Assist for Cryptographic Functions)というコプロセッサーが標準で無料搭載され、高い処理能力が必要とされる大規模な暗号化復号処理にも対応することができます。

zSystemsの最新セキュリティー・ソリューション
ここからは日々進化しているサイバー攻撃に対して、zSystemsではどのような最新機能でサステナビリティーを維持しているかをご紹介します。どのソリューションも、メインフレームをお使いのお客様が、現在はもちろん、これから先の将来に渡って重要なデータやシステムを維持し続けていくことを可能にするために開発されたものです。

将来に渡りお客様のデータを守り抜く - 耐量子暗号
量子コンピューターの実用化がいよいよ間近に迫ってきています。2021年7月に27量子ビットのゲート型量子コンピューターIBM Quantum System Oneが川崎に設置されたことは記憶に新しいです[8]。IBMが発表した最新のロードマップでは2025年に4,000量子ビット以上のプロセッサーの実現を目標にしています[9]。産業界の期待も大きく、「量子技術による新産業創出協議会(Q-STAR)」[10]は2021年9月設立され、2022年5月時点で59法人が参加する[11]など量子コンピューターを取り巻く状況は日々注目度が上昇しています。
量子コンピューターの実用化によって、医療品の開発や飛躍的なAI開発など、従来のコンピューターでは成し得なかった技術革新が期待される一方、別の側面もあります。我々の安全な通信を実現している鍵交換やデジタル署名といった技術は、因数分解や楕円曲線離散対数といった、数学的に有意な時間に解くことが困難とされている命題に依存しています。しかし、十分に強力な量子コンピューターが実用化されると、Shorのアルゴリズムというメカニズムを用いることで整数の因数分解や離散対数の問題を指数関数的に高速に解くことが可能であり、現在我々が使用しているこれらの安全な通信を行うための技術は解読されてしまうことが明らかになっています。またGroverのアルゴリズムは総項目数Nの空間から何かを探す労力を√Nに削減し、十分に強力な量子コンピューターが実用化されると、共通鍵暗号の強度を半分にすることができることも明らかになっています。[12]
このような技術が実用化されると、悪意ある第三者はどのようなことができるかを図1に示します。不正な認証操作やデジタル署名の偽造が可能になり、トランザクションの処理の改ざんや、公的な書類の偽造が容易に行えるようになってしまいます。暗号化されたデータは解読されてしまい、センシティブな情報が外部に漏洩してしまい、企業に甚大な被害をもたらします。問題なのは、これらの脅威は遠い未来の話ではなく、今まさに迫っている脅威であるということです。悪意ある第三者は、将来量子コンピューターが実用化された時に解読しようという意図で、暗号化されたデータをまさに今収集しているというのです。[13]

図1:量子コンピューターの実用化によるセキュリティー脅威

このような脅威に対応するために、量子コンピューターが登場しても破られない耐量子暗号(Post-quantum cryptography)の研究が始まり、アメリカ国立標準技術研究所(NIST)が2016年から標準化を進めてきました。2022年7月5日、6年のプロセスを経て、耐量子暗号の標準として4つの技術が採用されました[14]。
zSystemsはz15より耐量子暗号技術の採用を始め、最新モデルであるIBM z16ではHSMであるCrypto Express 8Sで鍵交換技術のCRYSTALS–KYBER、デジタル署名のCRYSTALS–Dilithiumが搭載されています。この両技術はNISTの標準技術として採用されました。また共通鍵暗号技術は耐量子コンピューター対策としては鍵長が十分に長いAES-256が現在有効とされていますが、zSystemsが提供するデータセット暗号化は、アプリケーションからは透過的にお客様のあらゆるデータをAES-256で暗号化し将来に渡って守ります。暗号化専用のコプロセッサーCPACFを搭載しているのでパフォーマンスへの影響も非常に少ないのが特徴です。
耐量子暗号は時代の流れとともに今後様々なハードウェアやサービスに搭載されていくでしょう。その中で、zSystemsが業界初の商用サーバーとしていち早く耐量子暗号の機能を搭載したことは、お客様の重要なデータを将来に渡ってずっと守り抜くという、zSystemsに課せられた「サステナブルなセキュリティー」の命題をまさに体現するものと言えるでしょう。

最新のコンプランス要件に準拠し続けていく強固なシステム– IBM Z Security and Compliance Center
基幹系業務へのサステナブルな重要要件として、年々厳格化が求められているコンプライアンスへの対応があります。2021年の調査では、企業のデータが侵害されてしまった際に発生する平均コストは424万ドルですが、コンプライアンスに問題がある組織では565万ドルとおよそ121万ドルもコストがかかってしまうということが報告されており[15]、コンプライアンス準拠の重要性はますます高まっています。企業は社会的責任を果たすために、様々な角度からデータ保護を目的としたセキュリティー設計を行う必要があります。
一方でデータを活用することの重要性も高まっています。プライバシー保護、データ活用、双方のニーズが高まっていることを背景に、データセキュリティーに関する法令規則は毎年のように更新されています。法令規制に対応するためには、その内容を正しく理解し、どのようにITシステムとして実装し、それが正しく守られていることのエビデンスを取得し、監査担当者に法令準拠していることを示さなくてはなりません。時代に即したプライバシーやセキュリティー要件を満たしたシステムとして、サステナブルに存在し続けていくことが重要である一方で、それには多大なコストがかかることが企業を悩ませています。
IBM z16と共に発表されたIBM Z Security and Compliance Center(ZSCC)[16]は、コンプライアンス対応に関するお客様のあらゆる課題を解決します。定められたプロファイルには、その法令制度に対応すべき設定(ゴール)があらかじめ定義されています。ZSCCは、対象となるシステムがそのゴールを守れているか、エビデンスを自動的に収集し簡単に結果を出力することができます。
ZSCCの構成図を図2に示します。ZSCCは、監査対象となるz/OSやLinux on zSystemsに命令を発行し、命令を受けたシステムはエビデンスを収集します。z/OSの様々なコンポーネントがZSCCのための専用データを新たに出力するよう対応されています。単なる監査にまつわる運用ワークロードの削減だけではなく、監査基準に沿った高いセキュリティーをシステムとして維持することが非常に重要であり、お客様に将来に渡って安心安全なシステムを維持し続けていくというzSystemsの方向性の現れでもあります。

図2:IBM Z Security and Compliance Centerの構成図

2022年10月現在、対応しているプロファイルはPCI-DSS 3.2.1、NIST SP 800-53、CIS benchmarksですが、今後さらに様々な監査基準への対応が予定されています。最新のバージョンに対応したプロファイルに更新することで、法令制度が求める最新のセキュリティー要件に対応し続けていくことを可能にします。

まとめ
IBMのメインフレームは1964年に誕生してから今年で58年が経ちます。半世紀以上に渡ってお客様の大事な資産を守り抜いてきました。レジリエンシー、特にセキュリティーの分野でサステナブルであるためには、変化し続ける環境に対して常にプロアクティブに対策をとり続けることが重要になります。今後もお客様の重要な資産を守り続けるために、メインフレームは進化し続けていきます。

IBM z16 シリーズ (全5回)
1. z16で日本のITをサステナブルに 4月発行
2. CI/CDによるアプリケーション開発のモダナイゼーション 10月発行
3. レジリエンシーにおけるIBM zSystemsのイノベーション 今号
4.  AIOpsを利用したIBM zSystemsの運用改善   12月発行
5. z16によるAIを利用した基幹系処理のイノベーション 12月発行


[参考文献]
[1] IBM: IBM Z, https://www.ibm.com/jp-ja/it-infrastructure/z
[2] IBM: Linux on IBM Z and IBM LinuxONE Certifications, https://www.ibm.com/downloads/cas/ZJWELX1M
[3] IBM: Reduce Risk and Improve Security on IBM Mainframes, https://www.redbooks.ibm.com/abstracts/sg247803.html
[4] @IT: 「バッファオーバーフロー」とは, https://atmarkit.itmedia.co.jp/ait/articles/0401/01/news043.html
[5] IBM: IBM Resource Access Control Facility (RACF) https://www.ibm.com/products/resource-access-control-facility
[6] IBM: IBM Systems cryptographic HSMs https://www.ibm.com/security/cryptocards
[7] NIST: CMVP - Certificate #3410 https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/3410
[8] 日本経済新聞: 日本初のゲート型商用量子コンピューター「IBM Quantum System One」稼働, https://ps.nikkei.com/ibmportal/quantum2109/vol2.html
[9] IBM: IBM Unveils New Roadmap to Practical Quantum Computing Era; Plans to Deliver 4,000+ Qubit System, https://newsroom.ibm.com/2022-05-10-IBM-Unveils-New-Roadmap-to-Practical-Quantum-Computing-Era-Plans-to-Deliver-4,000-Qubit-System
[10] Q-STAR: https://qstar.jp/
[11] 日経XTECH: 東芝・トヨタら参画のQ-STARが社団法人化、量子技術の産業応用は進むか, https://xtech.nikkei.com/atcl/nxt/column/18/00001/06856/
[12] 量子コンピュータ 超並列計算のからくり 竹内繁樹, 講談社
[13] sdxcentral: ‘Harvest Now, Decrypt Later’ Concern Boosts Quantum Security Awareness, https://www.sdxcentral.com/articles/analysis/harvest-now-decrypt-later-concern-boosts-quantum-security-awareness/2022/09/
[14] NIST: PQC Standardization Process: Announcing Four Candidates to be Standardized, Plus Fourth Round Candidates, https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-and-round-4
[15] IBM: Cost of a data breach 2021, https://www.ibm.com/reports/data-breach
[16] IBM: IBM Z Security and Compliance Center, https://www.ibm.com/products/z-security-and-compliance-center








#ProVision
#ProVision-mainframe
#Highlights
#Highlights-home

0 comments
1035 views

Permalink