ライブラリー管理の暗号化の構成

Library-Managed Encryption (LME) は、購入したライセンスを使用することで有効になる組み込み機能である。

LME フィーチャーは、出荷時からオーダーすることも、 またはフィールド・アップグレードとしてオーダーすることもできます。 フィーチャーを注文するには、 IBM® 営業担当員またはビジネス・パートナーにお問い合わせください。 オプション・フィーチャーを参照してください。

2 つのバージョンのライブラリー管理による暗号化が構成可能です。
ウィザードには、「アクション (Actions)」メニューから「暗号化の管理 (Manage Encryption)」オプションを使用してアクセスします。
注: 暗号化ウィザードを実行する前に、暗号化ウィザードを実行してください。
  • 設定 ] > [ ライブラリ ] > [ ライセンス機能] ページで、ライブラリ管理暗号化ライセンスが有効になっていることを確認します。
  • サーバーがネットワーク上で使用可能になっており、このライブラリーで使用するように構成されていることを確認します。 ライブラリーを使用したサーバーの構成方法の詳細については、サーバーの資料を参照してください。
    注: セットアップと構成については、 IBM Guardium Key Lifecycle Manager を参照してください。
  • ライブラリー暗号化設定がクリアされ、再構成されたら、ライブラリー自己署名証明書の使用時に、サーバー上で新しい証明書を受け入れる必要があります。

Key Management Interoperability Protocol (KMIP) 暗号化

  1. 「アクション (Actions)」メニューで「KMIP 暗号化の管理 (Manage KMIP Encryption)」をクリックしてウィザードを開始します。
  2. 「論理ライブラリーの選択 (Logical Library Selection)」 画面には、すべての論理ライブラリーに対して (デフォルト) または論理ライブラリーごとに、設定できる KMIP 構成オプションが表示されます。 2 番目のセクションでは、KMIP 構成設定をすべての論理ライブラリー (デフォルト) または指定された論理ライブラリーにコピーするオプションが使用できます。
  3. 「ウィザード情報 (Wizard Information)」画面に、ウィザードに関する情報が表示されます。 この画面で、「暗号化設定のリセット (Reset Encryption Settings)」も実行できます。 ライブラリー構成が完了していて KMIP サーバーがネットワーク上で使用可能になっている場合は、「次へ (Next)」をクリックします。
  4. 「証明書オプション (Certificate Option)」画面に、KMIP サーバーとのセキュア通信を確立するために使用できる、さまざまな証明書オプションが表示されます。 以下のオプションから選択してください。
    • 「ライブラリー自己署名証明書 (Library Self-Signed Certificate)」(デフォルト・オプション) - ライブラリーによって生成される自己署名証明書が使用されます。
    • 「アップロードされた証明書 (Uploaded Certificate)」- 証明書および対応する鍵を含む PCKS #12 ファイルをアップロードします。
    • 「証明書生成要求 (Generate Certificate Request (CSR))」- ライブラリーによって CSR が生成されます。CA サーバーによる署名が必要です。 この方式では、ウィザードのステップ中に指定しなければならない CA 証明書が必要です。
      1. 「証明書の構成 (Certification Configuration)」
        • 「ライブラリー自己署名証明書 (Library Self-Signed Certificate)」 - 次のステップにスキップしてください。
        • 「アップロードされた証明書 (Uploaded Certificate)」
          1. 「証明書オプション (Certificate Option)」画面の証明書領域で、PKCS #12 ファイルをアップロードします。
          2. このファイルにパスワードが必要な場合は、「証明書のパスワード (CertificatePassword)」入力フィールドにパスワードを入力する必要があります。 パスワードがない場合、このフィールドは空のままでかまいません。
          3. 証明書のアップロードが正常に完了したら、「次へ (Next)」をクリックします。
        • 「証明書生成要求 (Generate Certificate Request (CSR))」
          1. 「認証局の情報 (Certificate Authority Information)」画面に、KMIP 証明書を使用するための前提条件が表示されます。 前提条件が満たされている場合は「次へ (Next)」をクリックします。
          2. 「認証局証明書の項目 (Certificate Authority Certificate Entry)」画面に、KMIP サーバーの CA 証明書を取得する手順が表示されます。 この手順に従って、管理コンソールから CA 証明書をコピーします。 CA 証明書をウィザードにペーストしてから「次へ(Next)」をクリックします。
          3. 「ライブラリーの証明書情報 (Library Certificate Information)」画面に、次のウィザードのステップに関する情報が表示されます。 「次へ」をクリックします。
      2. 「KMIP クライアント構成 (KMIP Client Configuration)」画面には、2 種類のサーバー認証のオプションが用意されています。
        • KMIP サーバーの認証にクライアント・ユーザー名およびクライアント・パスワードを使用する場合は、ライブラリーの KMIP 管理コンソールで指定済みのユーザー名とパスワードを入力します。
        • KMIP サーバーの認証に証明書検証を使用する場合は、「KMIP 証明書のみを使用可能にする (Enable KMIP Certificate only)」認証を選択します。 このオプションは、クライアント・ユーザー名とクライアント・パスワードをサポートしない KMIP サーバーを使用する場合に選択してください。 このデフォルトの方式は、KMIP が IBM Security Key Lifecycle Manager と共に使用される場合に使用されます。
          1. 「KMIP サーバー構成 (KMIP Server Configuration)」画面で、最大 10 台の KMIPサーバーの IP アドレスまたは完全修飾ホスト名、およびポート番号を入力します。 また、暗号鍵を生成・管理する鍵サーバー・タイプを選択します。 以下のオプションから選択してください。
            • IBM SKLM - IBM Security Lifecycle Manager 2.6.0 以上の KMIP サーバー。
            • KMIP 互換 - OASIS 規格の Key Management Interoperability Protocol (KMIP) をサポートしている鍵サーバー。
          2. KMIP サーバーへのアクセスを確認するには、「接続性検査 (Connectivity Check)」をクリックします。
          3. サーバーがライブラリーの証明書を受け入れていることを、KMIP サーバー側で確認します。
          4. 「セットアップの要約 (Setup Summary)」画面に、ウィザードによって収集される設定が表示されます。 設定が適切で、「完了 (Done)」列にエラーがないことを確認してください。
            • いずれかの設定を変更したり、何らかの問題を修正したりする必要がある場合は、「戻る (Back)」をクリックして該当する画面に戻るか、「キャンセル(Cancel)」をクリックしてウィザードを終了し、問題を修正してから後でウィザードに戻ります。
            • 設定が適切でエラーが報告されない場合は、「完了 (Finish)」をクリックします。

ウィザードが終了すると、[ Library ] > [ Logical Libraries] ページの [Logical Library Wizard (Expert Mode)] で、 Library Managed Encryption (KMIP) 暗号化モードを選択できるようになります。

Security Key Lifecycle Manager (SKLM) for z/OS 暗号化

  1. 「ライブラリー (Library)」メニューに進みます。 次に、「論理ライブラリー (Logical Libraries)」に移動します。 「アクション (Actions)」を選択し、さらに「SKLM for z/OS 暗号化の管理 (Manage SKLM for z/OS Encryption)」を選択します。
  2. SKLM z/OS サーバーの IP アドレスおよびポートを入力し、「変更 (Modify)」をクリックします。
  3. 「アクション (Actions)」に戻って、「論理ライブラリーの管理 (エキスパート・モード) (Manage Logical Library (Expert Mode))」を選択します。
  4. 「エキスパート論理ライブラリー・ウィザード (Expert Logical Library Wizard)」画面で、「一般設定 (General Settings)」をクリックします。
  5. 「暗号化モード (Encryption Mode)」の横にある「ライブラリー管理による暗号化 (SKLM for z/OS) (ライセンス交付) (Library Managed Encryption (SKLM for z/OS) (Licensed))」を選択します。
  6. 「次へ (Next)」をクリックし、さらに「構成の完了 (Finish Configuration)」をクリックします。
  7. 正常に論理ライブラリーが SKLM for z/OS で使用可能になると、メッセージが表示されます。
  8. 設定」 >「 セキュリティ 」>「 暗号化 」と進む。 「セキュリティー暗号化状況 (Security Encryption Status)」および「論理ライブラリー暗号化状況 (Logical Library Encryption Status)」で、「ライブラリー管理による暗号化 (SKLM for z/OS) (Library Managed Encryption (SKLM for z/OS))」「使用可能 (Enabled)」と表示されます。

キー・パス診断

鍵パス診断テストは、すべての通信パスを検査した上で、暗号鍵サーバーからドライブに鍵を送信して、テープ・カートリッジの暗号化および暗号化解除が適切に実行できるかを確認します。

テストは 2 段階で構成されています。 最初の段階はドライブのテストで、ライブラリーとドライブ間の通信が適切に動作しているかを検証します。 これは、ライブラリー管理による暗号化 (LME) に構成されているドライブ上でのみ実行されます。

2 つ目の段階では、ライブラリーと暗号鍵サーバー間の通信が検証されます。 セカンダリー・イーサネット・ポートが使用可能で構成済みの場合、テストは両方のポートで別々に実行されます。

このテストは、次の 4 つのサブテストで構成されています。

  • Ping

    鍵サーバーへの到達の可否を確認します。 ICMP 要求がサーバー側でブロックされていると、テストは失敗します。 そのため、ping テストの結果に関係なく次のテストが実行されます。

  • SSL/TLS

    鍵サーバーとの SSL/TLS 接続の確立を試みます。 このテストに失敗すると、それに続くテストも失敗になる可能性があるためスキップされます。 SSL/TLS が有効になっていないと、このテストはスキップされます。

  • 鍵サーバーのログイン

    SKLM では現在ログインをサポートしていないため、KMIP 暗号化サーバーと組み合わせて使用された場合のみ、このテストが実行されます。 このテストに失敗すると、それに続く鍵の取得テストも失敗になる可能性があるためスキップされます。

  • 鍵の取得

    暗号化サーバーから鍵を要求します。 SKLM サーバーの場合は、鍵プールにある鍵が要求されます。 他のサーバーでは、ライブラリーは特定の診断鍵を獲得します。