T HSMサポートの構成

この付録では、RUEIを構成して、HSMデバイスに格納されている秘密鍵にアクセスする方法について説明します。この機能はベータ版として提供されています。開始する前に、HSMベンダーのマニュアルを参照してください。

T.1 概要

ハードウェア・セキュリティ・モジュール(HSM)とは、サーバー・システムに接続してデジタル鍵を管理できるデバイスのことです。これらの要素を認証されていないユーザーから論理的、物理的の両面で保護します。

RUEIでのHSMのサポートはOpenSSLに基づきます。OpenSSLプロジェクトの詳細は、http://www.openssl.org/を参照してください。RUEIで提供される監視のサポートは、Thales社のnCipher製品ラインに対して検証されています。ただし、他のOpenSSLベースの実装でも機能します。

T.2 HSMベンダー・ソフトウェアのインストールおよび構成

次を実行します。

1. 必須コレクタ・システムごとにHSMベンダー・ソフトウェアをインストールします。インストール手順の詳細は、HSMベンダーのマニュアルを参照してください。

2. HSMのセキュリティ・ドメイン内で各必須コレクタ・システムを構成します。この手順の詳細は、HSMベンダーのマニュアルを参照してください。

3. 必要に応じて、ldconfigを使用するか、またはLD_LIBRARY_PATH環境変数をエクスポートして、HSMベンダー・ライブラリをOpenSSLで使用できるようにします。たとえば、Thales社のnCipher製品ラインでは、ソフトウェアがディレクトリ/opt/nfastにインストールされていることを前提とし、次のコマンドを発行して実現します。

   echo /opt/nfast/toolkits/hwcrhk > /etc/ld.so.conf.d/ncipher.conf
   ldconfig
   

T.3 コレクタ・システムの構成

必須コレクタ・システムを構成する手順は、次のとおりです。

1. レポータ・システム上で次のコマンドをRUEI_USERとして発行し、現在定義されているコレクタ・プロファイルのリストを取得します。

   execsql config_get_profiles
   

   この項で後述しているように、関連するプロファイル内のすべてのコレクタ・システムが、HSMデバイスに接続できるように構成されている必要があります。

2. HSMデバイスに格納されている秘密鍵にRUEIがアクセスするには、HSMデバイスへの接続が必要です。これは、OpenSSLエンジン(chilなど)を介して確立できます。次のコマンドを発行して、各必須コレクタ・システム上で必要なOpenSSLエンジンがサポートされているかどうかをテストします。

   openssl engine -c engine
   

   engineにはベンダーのOpenSSLエンジンを指定します。次の出力例は、cswiftエンジンのサポートを示しています。

   (cswift) CryptoSwift hardware engine support
     [RSA, DSA, DH, RAND]
   

3. 次のコマンドを発行し、選択したOpenSSLエンジンを使用してHSMデバイスに実際に接続できるかどうかをテストします。

   openssl engine -c -tt engine
   

   次のような出力内容は、OpenSSLが使用できることを示しています。

   (cswift) CryptoSwift hardware engine support
   [RSA, DSA, DH, RAND]
   [ available ]
   

4. HSM実装のログ・ファイルをチェックして、コレクタ・システムからHSMデバイスに正常に接続できることを確認します。たとえば、Thales社のnCipher製品ラインでは、これは/opt/nfast/log/hardserver.logにあります。詳細は、HSMベンダーのマニュアルを参照してください。

5. レポータ・システムで次のコマンドをRUEI_USERとして発行し、各コレクタ・システムで必要なOpenSSLエンジンを構成します。

   execsql config_set_profile_value wg profile ssl SSLUseEngine replace engine
   

   profileには必須コレクタ・プロファイルを指定します。

6. 各必須コレクタを再起動します。それには、「構成」→「コレクタ・プロファイル」の順に選択します。必須コレクタ・プロファイルを選択します。選択したプロファイルに割り当てられているコレクタごとに、コンテキスト・メニューで「再起動」を選択します。

注意: localhostによって認識されるレポータ・システム上のコレクタをHSM統合に使用しない場合や、これが環境内で無効化されている場合でも、このコレクタをHSM統合に向け準備しておく必要があります。これは、SSL鍵検証にlocalhostコレクタが使用されるためです。HSMキーのRUEIへのアップロード中に、このコレクタが有効になっていることを確認してください。キーがアップロードされた後、localhostコレクタは再び無効になる場合があります。

T.4 HSMキーの構成

HSMで暗号化されたトラフィックの復号化をRUEIで可能にするには、最初に既存のHSMキーをRUEIにインポートする必要があります。組込み形式でモジュールが保護されていることを確認する必要があります。すべての鍵がモジュールによって保護された状態でHSMデバイスに格納される必要があります。つまり、モジュールの鍵を使用して、ユーザー認証トークンを保護します。このような鍵にはパスフェーズがなく、対応するセキュリティ・ドメイン内でHSMデバイスに接続している任意のアプリケーションがアクセスできます。この説明はThales社の製品ラインに特有であることに注意してください。

既存の鍵が前述の要件を満たしていない場合は、それらをRUEIにインポートする前に再ターゲットする必要があります。この手順の詳細は、HSMベンダーのマニュアルを参照してください。

生成または再ターゲット後、HSMソフトウェアによって専用のPEMファイルが作成されます。このファイルはRUEIにインポートできます(13.5項「SSL鍵の管理」を参照)。PEMファイルには公開証明書が含まれている必要があります。生成されたPEMファイルに公開証明書が含まれていない場合は、PEMファイルに手動で追加する必要があります。実際には専用のPEMファイルにSSL鍵は含まれていませんが、HSMで格納されている鍵への参照が含まれています。

T.5 HSMベース・トラフィックの正常な監視の検証

HSMデバイスに格納されている鍵が正常に暗号化されていることを検証するには、「コレクタ統計」ウィンドウで「SSL暗号化」タブの情報を確認します。この機能の使用方法は、15.2項「コレクタのステータスの表示」に記載されています。