6 コンプライアンス責任者の操作

この章では、コンプライアンス責任者の役割が付与されたユーザーが実行できる操作について説明します。複数の役割が割り当てられている場合は、その役割の実行手順について、該当する章を参照してください。

コンプライアンス責任者の役割

コンプライアンス責任者は、組織内のデータの流れを管理し、データコンテキスト (鍵グループ) と、データの保護方法および最終的な破棄方法を決定する規則 (鍵ポリシー) を定義および配備できます。これらの機能に対応するメニューは次のとおりです。

compliance_officer_role.jpgについては周囲の文で説明しています。

鍵ポリシー

鍵ポリシーは、データ管理に関する指針を提供します。OKM Manager では、鍵ポリシーを使用して、データの保護方法や破棄方法を決定します。鍵を作成してエージェントに提供するには、事前に鍵ポリシーを作成しておく必要があります。

鍵ポリシーを作成および変更できるのは、コンプライアンス責任者のみです。これによって、データが常にポリシーに準拠していることを確実にします。

「Key Policy List」メニュー

「Key Policies List」メニューでは、組織の鍵ポリシーを管理できます。

「Key Policy List」メニューオプションを使用すると、次を行うことができます。

  • 鍵ポリシーの表示

  • 鍵ポリシーの詳細の表示および変更

  • 鍵ポリシーの作成

  • 既存の鍵ポリシーの削除。

鍵ポリシーの表示

鍵ポリシーを表示するには:

  1. 「Secure Information Management」メニューから、「Key Policy List」を選択します。「Key Policy List」画面が表示されます。

key_policy_list_revoked.jpgについては周囲の文で説明しています。

データベース全体をスクロールするか、次のいずれかのキーで鍵ポリシーリストにフィルタを適用することもできます。

  • Key Policy ID

  • Description

  • Key Type

  • Encryption Period

  • Cryptoperiod

  • Allow Export From

  • Allow Import To

  • Allow Agents To Revoke Keys。

表示されている鍵ポリシーリストにフィルタを適用するには、「Use」ボタンを使用します。

次に、フィールドとその説明を示します。

Filter:

KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。

  • Key Policy ID

  • Description

  • Key Type

  • Encryption Period

  • Cryptoperiod

  • Allow Export From

  • Allow Import To

「Filter Operator」ボックス:

下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。

  • Equals =

  • Not equal <>

  • Greater than >

  • Less than <

  • Greater than or equals >=

  • Less than or equals <=

  • Starts with ~

  • Empty

  • Not empty

フィルタ値テキストボックス:

選択した属性のフィルタ条件とする値を入力します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。

フィルタ値コンボボックス:

下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。

プラスボタンをクリックすると、フィルタが追加されます。

フィルタ行を削除するには、マイナスボタンをクリックします。このボタンは、複数のフィルタが表示されている場合にのみ表示されます。

Use:

このボタンをクリックすると、表示されているリストに選択したフィルタが適用され、リストの最初のページが表示されます。

Refresh:

このボタンをクリックすると、リストがリフレッシュされます。

Reset:

このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。

このボタンをクリックすると、リストの最初のページに移動します。

okm_first_page.jpgについては周囲の文で説明しています。

このボタンをクリックすると、前のページに移動します。

okm_prev_page.jpgについては周囲の文で説明しています。

このボタンをクリックすると、次のページに移動します。

okm_next_page.jpgについては周囲の文で説明しています。

Results in Page:

「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。

Key Policy ID

各鍵ポリシーを識別する一意の識別子が表示されます。この値は、1 から 64 文字で指定できます。鍵ポリシー ID は、いったん作成すると変更できません。

Description

鍵ポリシーの説明が示されます。この値は、1 から 64 文字で指定できます。

Key Type

この鍵ポリシーに関連付けられている鍵で使用される暗号化アルゴリズムのタイプを示します。取り得る値は AES-256 だけです。

注:

「Encryption Period」および「Cryptoperiod」は、鍵がはじめてエージェントに割り当てられた時点から開始します。ポリシーの「Encryption period」および「Cryptoperiod」は変更できません。これは、鍵ポリシーの変更が多数の鍵に影響することを回避するためです。

Encryption Period

この鍵ポリシーに関連付けられている鍵を、データの暗号化または復号化に使用できる期間が表示されます。時間間隔の単位は、分、時間、日、週、月、または年です。

Cryptoperiod

この鍵ポリシーに関連付けられている鍵を、データの復号化に使用できる (しかし暗号化には使用できない) 期間が表示されます。時間間隔の単位は、分、時間、日、週、月、または年です。

Allow Export From

この鍵ポリシーに関連付けられているデータユニット鍵をエクスポートできるかどうかを示します。取り得る値は True または False です。

Allow Import To

この鍵ポリシーに関連付けられているデータユニット鍵をインポートできるかどうかを示します。取り得る値は True または False です。

鍵ポリシーを作成する場合は、「Create」ボタンをクリックします。詳細については、"鍵ポリシーの作成"を参照してください。

鍵ポリシーを表示または変更する場合は、その鍵ポリシーを強調表示して「Details」ボタンをクリックします。詳細については、"鍵ポリシーの表示および変更"を参照してください。

鍵ポリシーを削除する場合は、「Delete」ボタンをクリックします。詳細については、"鍵ポリシーの削除"を参照してください。

Allow Agents To Revoke Keys

この鍵ポリシーを指定する鍵グループを使用するエージェントが、関連付けられている鍵が操作状態 (保護および処理など) にある場合でも、その鍵を非アクティブ化 (取り消し) できるようにします。

Allow Agents To Revoke Keys」チェックボックスを選択すると、属性が True (非アクティブ化) に設定されます。チェックボックスを選択解除すると、属性が False に設定され、エージェントは操作状態にある鍵を取り消しできません。デフォルトは False です。

この属性を True に設定するには、OKM クラスタがレプリケーションバージョン 14 以降を使用する必要があります。

テープドライブエージェントは、デフォルト値を使用するようにしてください (False)。

pkcs11_kms プロバイダ ("OKM の PKCS#11 プロバイダ"を参照) を使用するアプリケーションは、鍵の再作成操作などで使用しなくなる鍵の取り消しを呼び出す予定がある場合、デフォルトの鍵ポリシーが True に設定されたエージェントを使用するように構成してください。ZFS 暗号化は pkcs11_kms アプリケーションの例です。

鍵ポリシーの作成

鍵ポリシーを作成するには:

  1. 「Key Policy List」画面から、「Create」ボタンをクリックします。「Create Key Policy」ダイアログボックスが表示されます。

    key_policy_create_revoked.jpgについては周囲の文で説明しています。

  2. 次のパラメータを設定します。

    Key Policy ID

    ポリシーを識別する値を入力します。この値は、1 から 64 文字で指定できます。

    Description

    ポリシーを説明する値を入力します。この値は、1 から 64 文字で指定できます。このフィールドは、空白にすることができます。

    Encryption Period

    この鍵ポリシーに関連付けられている鍵を、データの暗号化または復号化に使用できる期間が表示されます。時間間隔の単位は、分、時間、日、週、月、または年です。

    Cryptoperiod

    この鍵ポリシーに関連付けられている鍵を、データの復号化に使用できる (しかし暗号化には使用できない) 期間が表示されます。時間間隔の単位は、分、時間、日、週、月、または年です。

    Flags

    Allow Export From

    この鍵ポリシーに関連付けられているデータユニット鍵をエクスポートできるかどうかを示します。取り得る値は True または False です。

    Allow Import To

    この鍵ポリシーに関連付けられているデータユニット鍵をインポートできるかどうかを示します。取り得る値は True または False です。

    Allow Agents To Revoke Keys

    この鍵ポリシーを指定する鍵グループを使用するエージェントが、関連付けられている鍵が操作状態 (保護および処理など) にある場合でも、その鍵を非アクティブ化 (取り消し) またはアクティブ化できるようにします。

    Allow Agents To Revoke Keys」チェックボックスを選択すると、属性が True (非アクティブ化) に設定されます。チェックボックスを選択解除すると、属性が False (アクティブ化) に設定されます。デフォルトは False です。

  3. Save」ボタンをクリックして鍵ポリシーを保存します。「Key Policy List」画面に、新しい鍵ポリシーが表示されます。これで、この鍵ポリシーを鍵グループで使用できるようになります。

    key_policy_new.jpgについては周囲の文で説明しています。

鍵ポリシーの表示および変更

注:

鍵ポリシーの詳細情報を表示できるのは、コンプライアンス責任者のみです。

鍵ポリシーの詳細を変更するには:

  1. 「Key Policy List」画面から、詳細情報を表示する鍵ポリシーをダブルクリックするか、またはその鍵ポリシーを強調表示して「Details」ボタンをクリックします。「Key Policy Details」ダイアログボックスが表示されます。

    key_policy_details_revoked.jpgについては周囲の文で説明しています。

  2. 必要に応じて、「Description」、「Allow Export From」、「Allow Import To」、「Allow Agents To Revoke Keys」チェックボックスを変更できます。終了したら、「Save」ボタンをクリックして変更内容を保存します。システムによって新しい鍵ポリシーの評価と検証が行われたあと、新しい鍵ポリシーに鍵グループが関連付けられます。

  3. Cancel」ボタンをクリックした場合は、変更が保存されずにダイアログボックスが閉じます。

鍵ポリシーの削除

鍵ポリシーは、鍵グループまたは鍵で使用されていない場合にのみ削除できます。

鍵ポリシーを削除するには:

  1. 「Key Policy List」画面から、削除する鍵ポリシーを強調表示し、「Delete」ボタンをクリックします。次のように、指定した鍵ポリシーの削除を確認するダイアログボックスが表示されます。

    aysdeletekeypolicy.jpgについては周囲の文で説明しています。

  2. Yes」ボタンをクリックして、鍵ポリシーを削除します。鍵ポリシーがデータベースから削除されます。「Key Policy List」画面に戻ります。リストから鍵ポリシーが削除されています。

鍵グループ

鍵グループとは、適用される鍵ポリシーとアクセスできるエージェントを決定するデータコンテキストです。鍵がエージェントに割り当てられ、データユニットのためにはじめて使用されると、その鍵は鍵グループに関連付けられます。鍵グループを作成するときには、鍵ポリシーを選択する必要があります。選択した鍵ポリシーが、その鍵グループ内の鍵に適用されます。

エージェントは鍵グループに関連付けられます。エージェントは、アクセスを許可された 1 つ以上の鍵グループを持ちます。エージェントは、アクセスを許可された鍵グループに属する鍵のみを取得できます。また、エージェントにデフォルトの鍵グループが存在することもあります。エージェントが新しい鍵を割り当てると、その鍵はそのエージェントのデフォルトの鍵グループに配置されます。エージェントが新しい鍵を割り当てることができるのは、そのエージェントにデフォルトの鍵グループが存在する場合だけです。

図 6-1 に、鍵グループ、鍵ポリシー、エージェント、およびデータユニットの関係を示します。

図 6-1 鍵グループと鍵ポリシー、エージェント、データユニットとの関係

図 6-1 については周囲の文で説明しています。

「Key Groups」メニュー

「Key Groups」メニューに含まれている「Key Group List」メニューオプションを使用すると、コンプライアンス責任者は、鍵グループを管理できます。

key_groups_menu_co.jpgについては周囲の文で説明しています。

「Key Group List」メニュー

「Key Group List」メニューオプションを使用すると、次を行うことができます。

  • 鍵グループの表示

  • 鍵グループの作成

  • 既存の鍵グループの変更

  • 既存の鍵グループの削除。

鍵グループの表示

すべての鍵グループを表示するには:

「Key Groups」メニューから、「Key Group List」を選択します。「Key Group List」画面が表示されます。

key_group_list.jpgについては周囲の文で説明しています。

データベース全体をスクロールするか、次のいずれかのキーで鍵グループリストにフィルタを適用することもできます。

  • Key Group ID

  • Description

  • Key Policy ID。

表示されている鍵グループリストにフィルタを適用するには、「Use」ボタンを使用します。

次に、フィールドとその説明を示します。

Filter:

表示されている鍵グループのリストにフィルタを適用するためのフィルタオプションを選択します。すべてのフィルタを満たす鍵グループのみが表示されます。

フィルタ属性コンボボックス:

下矢印ボタンをクリックし、フィルタ条件として使用する属性を選択します。取り得る値は次のとおりです。

  • Key Group ID

  • Description

  • Key Policy ID。

「Filter Operator」ボックス:

下矢印ボタンをクリックし、選択した属性に適用するフィルタ演算子を選択します。取り得る値は次のとおりです。

  • Equals =

  • Not equal <>

  • Greater than >

  • Less than <

  • Greater than or equals >=

  • Less than or equals <=

  • Starts with ~

  • Empty

  • Not empty。

「Filter Value」テキストボックス:

選択した属性のフィルタ条件とする値を入力します。

「Filter Value」コンボボックス:

下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。

プラスボタンをクリックすると、フィルタが追加されます。

フィルタ行を削除するには、マイナスボタンをクリックします。このボタンは、複数のフィルタが表示されている場合にのみ表示されます。

Use:

このボタンをクリックすると、表示されているリストに選択したフィルタが適用され、リストの最初のページが表示されます。

Refresh:

このボタンをクリックすると、表示されているリストがリフレッシュされます。この操作では、前回の「Use」または「Reset」操作以降に選択されたフィルタは適用されず、リストのページは変更されません。

Reset:

このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。

このボタンをクリックすると、リストの最初のページに移動します。

okm_first_page.jpgについては周囲の文で説明しています。

このボタンをクリックすると、前のページに移動します。

okm_prev_page.jpgについては周囲の文で説明しています。

このボタンをクリックすると、次のページに移動します。

okm_next_page.jpgについては周囲の文で説明しています。

Results in Page:

現在のページに表示できる項目数が表示されます。リストの最後の項目を表示している場合は、項目数に「(last page)」が付加されます。1 ページに表示する最大項目数は、「Options」ダイアログの「Query Page Size」値で定義されています。

Key Group ID

各鍵グループを識別する一意の識別子が表示されます。この値は、1 から 64 文字で指定できます。鍵グループ ID は、いったん定義すると変更できません。

Description

鍵グループの説明が示されます。この値は、1 から 64 文字で指定できます。

Key Policy ID

鍵グループ内の各データユニットに適用される既存の鍵ポリシーを識別する一意の識別子が表示されます。

既存の鍵グループの鍵ポリシー ID は変更できません。これは、変更が多数の鍵に影響することを回避するためです。

鍵グループを作成する場合は、「Create」ボタンをクリックします。詳細については、"鍵グループの作成"を参照してください。

鍵グループを表示または変更する場合は、その鍵グループを強調表示して「Details」ボタンをクリックします。詳細については、"鍵グループの詳細の表示および変更"を参照してください。

鍵グループを削除する場合は、「Delete」ボタンをクリックします。詳細については、"鍵グループの削除"を参照してください。

鍵グループの作成

新しい鍵グループを作成するには:

  1. 「Key Group List」画面から、「Create」ボタンをクリックします。「Create Key Group」ダイアログボックスが表示されます。

    create_key_group.jpgについては周囲の文で説明しています。

  2. 次のパラメータを設定します。

    Key Group ID

    鍵グループを識別する値を入力します。この値は、1 から 64 文字で指定できます。

    Description

    鍵グループを説明する値を入力します。この値は、1 から 64 文字で指定できます。

    Key Policy ID

    下矢印ボタンをクリックし、この鍵グループに関連付ける鍵ポリシーを選択します。新しい鍵グループを作成する場合は、既存の鍵ポリシーが表示されます。

  3. Save」ボタンをクリックします。新しい鍵グループが作成されてデータベースに保存され、「Key Group List」画面に表示されます。これで、データユニット、エージェントなどで鍵グループを使用できるようになります。

    create_key_group_list_added.jpgについては周囲の文で説明しています。

鍵グループの詳細の表示および変更

注:

コンプライアンス責任者以外のユーザーが鍵グループの詳細情報を表示する場合は、「Save」ボタンを含むすべてのフィールドが使用不可になります。

鍵グループを変更するには:

  1. 「Key Group List」画面から、詳細情報を表示する鍵グループエントリをダブルクリックするか、またはその鍵グループエントリを強調表示して「Details」ボタンをクリックします。「Key Group Details」ダイアログボックスが表示されます。

    key_policy_details.jpgについては周囲の文で説明しています。

    次のパラメータが表示されます。

    Key Group ID:

    鍵グループを一意に識別します。このフィールドは読み取り専用です。

    Description:

    鍵グループを説明する値を入力します。この値は、1 から 64 文字で指定できます。このフィールドは、空白にすることができます。

    Key Policy ID:

    鍵グループおよび鍵グループ内のすべての鍵に関連付けられている既存の鍵ポリシーを識別する一意の識別子が表示されます。このフィールドは読み取り専用です。

  2. 変更できるのは「Description」フィールドのみです。終了したら、「Save」ボタンをクリックして変更内容を保存します。「Key Group List」画面に戻ります。

鍵グループの削除

注:

アクティブな鍵グループ、つまりエージェントまたはデータユニットが割り当てられている鍵グループは削除できません。

鍵グループを削除するには:

  1. 「Key Groups List」画面から、削除する鍵グループを強調表示し、「Delete」ボタンをクリックします。次の「Confirmation」ダイアログボックスが表示され、選択された鍵グループを削除することを確認するよう求められます。

    鍵グループは、鍵で使用されておらず、エージェントにも関連付けられていない場合にのみ削除できます。

    aysdeletekeygroup.jpgについては周囲の文で説明しています。

  2. Yes」ボタンをクリックして、鍵グループを削除します。鍵グループと、それに関連付けられたエントリが、データベースから削除されます。「Key Group List」画面に戻ります。リストから鍵グループが削除されています。

「Agent Assignment to Key Groups」メニュー

「Agent Assignment to Key Groups」メニューオプションを使用すると、エージェントを鍵グループに割り当てることができます。エージェントを鍵グループに割り当てることで、そのエージェントがアクセスできるストレージデバイスが決定されます。これは「Agents」メニューの「Key Group Assignment」メニューオプションの逆の操作ですが、どちらも結果は同じになります。

重要 – エージェントによる鍵の割り当てを可能にするには、事前にそのエージェントのデフォルトの鍵グループを設定しておく必要があります。

agent_assgn_key_groups_tree.jpgについては周囲の文で説明しています。

エージェントの割り当てを表示するには、「Key Groups」メニューから「Agent Assignment to Key Groups」を選択します。「Agent Assignment to Key Groups」画面が表示されます。

agent_assgmnt_to_key_groups.jpgについては周囲の文で説明しています。

「Key Groups」列に、鍵グループが一覧表示されます。「Agents Allowed Access」列に、選択した鍵グループに割り当てられているエージェントが一覧表示されます。「Agents Not Allowed Access」列に、選択した鍵グループに割り当てられていないエージェントが一覧表示されます。

鍵グループへのエージェントの割り当て

鍵グループにエージェントを割り当てるには:

  1. 「Key Groups」列で、必要な鍵グループを強調表示します。「Agents Not Allowed Access」列で、追加するエージェントを強調表示し、「Move to」(戻る矢印) ボタンをクリックします。

    adding_agent_to_key_group.jpgについては周囲の文で説明しています。

  2. 選択したエージェントが「Agents Allowed Access」列に移動して、選択した鍵グループのエージェントリストにエージェントが正常に追加されたことを示します。

    adding_agent_to_key_groups2.jpgについては周囲の文で説明しています。

エージェントを鍵グループに割り当て、デフォルトの鍵グループを設定するには:

  1. 「Agent Assignment to Key Groups」画面で、「Key Groups」リストから必要な鍵グループを選択します。

  2. 「Agents Not Allowed Access」リストで、追加してデフォルトの鍵グループを設定するエージェントを 1 つ以上選択します。

  3. Default Key Group for Agent」ボタンをクリックします。選択したエージェントが「Agents Allowed Access」リストに移動して、その鍵グループにデフォルトの鍵グループが設定されます。これにより、エージェントは鍵グループにアクセスできるようになります。

すでに割り当てられているエージェントに対してデフォルトの鍵グループを設定するには:

  1. 「Agent Assignment to Key Groups」画面で、「Key Groups」リストから必要な鍵グループを選択します。

  2. 「Agents Allowed Access」リストで、デフォルトの鍵グループとして選択した鍵グループを持たない 1 つ以上のエージェントを選択します。

  3. Default Key Group for Agent」ボタンをクリックします。選択されたエージェントのデフォルトの鍵グループが、その鍵グループに設定されます。

鍵グループからのエージェントの削除

鍵グループのエージェントリストからエージェントを削除するには:

  1. 「Key Groups」列で、必要な鍵グループを強調表示します。「Agents Allowed Access」列で、削除するエージェントを強調表示し、「Move from」 (進む矢印) ボタンをクリックします。

    remov_agent_fr_key_grp.jpgについては周囲の文で説明しています。

  2. 選択したエントリが「Agents Allowed Access」列から削除され、「Agents Not Allowed Access」列に表示されます。選択した鍵グループへの割り当ては解除されています。

    remov_agent_fr_key_grp2.jpgについては周囲の文で説明しています。

「Key Group Assignment to Agents」メニュー

「Key Group Assignment to Agents」メニューオプションを使用すると、鍵グループをエージェントに割り当てることができます。これは「Agent Assignment to Key Groups」メニューオプションの逆の操作ですが、どちらも結果は同じになります。

key_group_assgn_to_agents.jpgについては周囲の文で説明しています。

鍵グループを表示するには:

  1. 「Agents」メニューから「Key Group Assignment」を選択します。「Key Group Assignment to Agents」画面が表示されます。

    key_group_assgnment_menu.jpgについては周囲の文で説明しています。

    「Agents」列に、データベース内のエージェントが一覧表示されます。「Allowed Key Groups」列に、エージェントがアクセスできる鍵グループが一覧表示されます。「Disallowed Key Groups」列に、エージェントがアクセスできない鍵グループが一覧表示されます。

  2. エージェントエントリをクリックすると、選択したエージェントのメンバーの鍵グループまたはメンバーでない鍵グループが表示されます。

    key_group_assgn1_to_agents.jpgについては周囲の文で説明しています。

エージェントへの鍵グループの割り当て

エージェントに鍵グループを割り当てるには:

  1. 「Key Group Assignment to Agents」画面の「Agents」列で、必要なエージェントを強調表示します。「Disallowed Key Groups」列で、追加する鍵グループを強調表示し、「Move to」(戻る矢印) ボタンをクリックします。

    key_group_assgn_to_agents2.jpgについては周囲の文で説明しています。

  2. 選択したエントリが「Allowed Key Groups」列に移動し、選択したエージェントに鍵グループが正常に追加されます。

    key_group_assgn_to_agents3.jpgについては周囲の文で説明しています。

鍵グループをデフォルトの鍵グループとしてエージェントに割り当てるには:

  1. 「Key Group Assignment to Agents」画面の「Agents」リストで、必要なエージェントを選択します。

  2. 「Disallowed Key Groups」リストで、追加してデフォルトの鍵グループとして設定する鍵グループを 1 つ選択します。

  3. Default Key Group」ボタンをクリックします。選択した鍵グループが「Allowed Key Groups」リストに移動し、エージェントのデフォルトの鍵グループとして設定されます。これにより、エージェントは鍵グループにアクセスできるようになります。

すでに割り当てられている鍵グループをデフォルトの鍵グループに設定するには:

  1. 「Key Group Assignment to Agents」画面の「Agents」リストで、必要なエージェントを選択します。

  2. 「Allowed Key Groups」リストで、エージェントのデフォルトの鍵グループになっていない鍵グループを 1 つ選択します。

Default Key Group」ボタンをクリックします。エージェントのデフォルトの鍵グループが、選択された鍵グループに設定されます。

エージェントからの鍵グループの削除

エージェントから鍵グループを削除するには:

  1. 「Key Group Assignment to Agents」画面の「Agents」列で、必要なエージェントを強調表示します。「Allowed Key Groups」列で、削除する鍵グループを強調表示し、「Move from」 (進む矢印) ボタンをクリックします。

    key_group_assgn_to_agents4.jpgについては周囲の文で説明しています。

  2. 選択されたエントリが「Allowed Key Groups」列から「Non-member of Info. Groups」列に移動され、エージェントに割り当てられた状態ではなくなります。

    key_group_assgn1_to_agents.jpgについては周囲の文で説明しています。

「Key Group Assignment to Transfer Partners」メニュー

「Key Group Assignment to Transfer Partners」メニューオプションを使用すると、鍵グループを転送パートナーに割り当てることができます。

key_grps_asgn_trnsprts_mn.jpgについては周囲の文で説明しています。

鍵グループ割り当ての表示

鍵グループの割り当てを表示するには、「Transfer Partners」メニューから「Key Group Assignment to Transfer Partners」を選択します。次の画面が表示されます。

key_grp_asgn_to_trns_part1.jpgについては周囲の文で説明しています。

画面に、転送パートナーにアクセスできる鍵グループが表示されます。「Allowed Key Groups」列に、選択した転送パートナーに割り当てられた鍵グループが一覧表示されます。「Disallowed Key Groups」列に、転送パートナーに割り当てられていない鍵グループが表示されます。

転送パートナーへの鍵グループの追加

転送パートナーリストに鍵グループを追加するには:

  1. 「Transfer Partners」列で、対象とする転送パートナーを強調表示します。「Disallowed Key Groups」列で、追加する鍵グループを強調表示し、「Move to」(戻る矢印) ボタンをクリックします。

    adding_key_grp_transpart.jpgについては周囲の文で説明しています。

  2. 選択した鍵グループが「Allowed Key Groups」列に移動して、転送パートナーがその鍵グループにアクセスできるようになったことを示します。

転送パートナーからの鍵グループの削除

転送パートナーから鍵グループリストを削除するには:

  1. 「Transfer Partners」列で、対象とする転送パートナーを強調表示します。「Allowed Key Groups」列で、削除する鍵グループを強調表示し、「Move from」 (進む矢印) ボタンをクリックします。

    key_grp_asgn_to_trns_part1.jpgについては周囲の文で説明しています。

  2. 選択した鍵グループが「Disallowed Key Groups」列に移動して、転送パートナーがその鍵グループにアクセスできなくなったことを示します。

「Transfer Partner Assignment to Key Groups」メニュー

「Transfer Partner Assignment to Key Groups」メニューを使用すると、特定の鍵グループへのアクセスを許可されている一連の鍵転送パートナーに鍵転送パートナーを追加できます。

transpart_assgn_t_keygp_mn.jpgについては周囲の文で説明しています。

転送グループ割り当ての表示

転送グループ割り当てを表示するには、「Key Groups」メニューから「Transfer Partner Assignment to Key Groups」を選択します。次の画面が表示されます。

transpart_assgn_keygrp_vw.jpgについては周囲の文で説明しています。

画面には、鍵グループにアクセスできる転送パートナーが表示されます。「Transfer Partners Allowed Access」列に、鍵グループに割り当てられている転送パートナーが一覧表示されます。「Transfer Partners Not Allowed Access」列に、鍵グループに割り当てられていない転送パートナーが表示されます。

鍵グループへの転送パートナーの追加

鍵グループに転送パートナーを追加するには:

  1. 「Key Groups」列で、対象とする鍵グループを強調表示します。「Transfer Partners Allowed Access」列で、追加する鍵グループを強調表示し、「Move to」(戻る矢印) ボタンをクリックします。

    transpart_assgn_key_grp_ad.jpgについては周囲の文で説明しています。

  2. 選択した転送パートナーが「Transfer Partners Allowed Access」列に移動して、鍵グループがその転送パートナーにアクセスできるようになったことを示します。

鍵グループからの転送パートナーの削除

鍵グループから転送パートナーを削除するには:

  1. 「Key Groups」列で、対象とする鍵グループを強調表示します。「Transfer Partners Allowed Access」列で、削除する転送パートナーを強調表示し、「Move from」 (進む矢印) ボタンをクリックします。

    transpart_assgn_keygrp_vw.jpgについては周囲の文で説明しています。

  2. 選択した転送パートナーが「Transfer Partners Not Allowed Access」列に移動して、鍵グループがその転送パートナーにアクセスできなくなったことを示します。

KMS 1.0 鍵エクスポートファイルのインポート

KMS 1.0 の鍵エクスポートファイルを KMA にインポートし、このファイル内の各鍵に対して新しい鍵を作成するには:

  1. KMS 1.2 システムに移動し、鍵をファイルにエクスポートします。インポートできるのは、KMS 1.2 システムからエクスポートされた鍵のみです。KMS 1.0 および 1.1 のシステムは、鍵をエクスポートする前に KMS 1.2 にアップグレードする必要があります。

  2. 「Secure Information Management」メニューから「Import 1.0 Keys」を選択します。

    import_10_keys.jpgについては周囲の文で説明しています。

  3. 次のパラメータを設定します。

    Destination Key Group

    これらの鍵のインポート先となる鍵グループを選択します。

    KMS 1.0 Key Export File Name

    KMS 1.0 の鍵エクスポートファイルの名前を入力します。

    Browse

    このボタンをクリックすると、ファイルの場所を指定できます。

    Start

    このボタンをクリックすると、KMS 1.0 の鍵ファイルの KMA へのアップロードが開始されます。ファイルに含まれる鍵ごとに、新しい鍵が作成されます。新しい鍵はそれぞれ、選択した鍵グループに関連付けられます。ファイルがアップロードされ適用された時間を示すメッセージが表示されます。

「Audit Event List」メニュー

「Audit Event List」メニューを使用すると、監査ログイベントを表示できます。

audit_event_list_menu.jpgについては周囲の文で説明しています。

監査ログの表示

監査ログイベントを表示するには:

「System Management」メニューから「Audit Event List」を選択します。「Audit Event List」画面が表示されます。

audit_event_list.jpgについては周囲の文で説明しています。

データベース全体をスクロールするか、次のいずれかのキーで監査イベントリストにフィルタを適用することもできます。

  • Created Date

  • Operation

  • Severity

  • Condition

  • Entity ID

  • Entity Network Address

  • KMA ID

  • KMA Name

  • Class

  • Retention Term

  • Audit Log ID。

表示されている監査ログのリストにフィルタを適用するには、「Use」ボタンを使用します。

次に、フィールドとその説明を示します。

Filter:

KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。

  • Created Date

  • Operation

  • Severity

  • Condition

  • Entity ID

  • Entity Network Address

  • KMA Name

  • Class

  • Retention Term

  • Audit Log ID。

フィルタ演算子ボックス:

下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。

  • Empty

  • Not empty

フィルタ値 1 ボックス:

日付フィルタを選択した場合は、「Set Date」をクリックして開始日付と開始時間を指定します。値は、フィルタキーの範囲の開始値として表示されます。ほかのフィルタを選択した場合は、このフィールドに値を入力します。

フィルタ値 2 ボックス:

日付フィルタを選択した場合は、「Set Date」をクリックして終了日付と終了時間を選択します。値は、フィルタキーの範囲の終了値として表示されます。

フィルタ値 3 ボックス:

下矢印ボタンをクリックし、次のいずれかのフィルタを選択します。

  • Don’t Show Short Term

  • Show All Retentions。

Created Date

監査イベントが作成された日時が表示されます。

Operation

監査イベントレコードが作成される原因となった操作が表示されます。

Severity

操作が失敗した場合の状況の重大度が示されます。「Success」(エラーなし)、「Warning」、または「Error」の値を取ります。

注:

「Severity」の値が「Error」の場合、イベントを生成した KMA は、イベントの詳細の SNMP 通知メッセージも発行します。

Condition

操作が正常に完了したかどうかが示されます。

注:

エラーは赤色で強調表示され、警告は黄色で強調表示されます。エラーメッセージの上にカーソルを置くと、エラーの詳細な説明が表示されます。

「Condition」の値が「Server Busy」の場合、イベントを生成した KMA は、イベントの詳細の SNMP 通知メッセージも発行します。

Event Message

監査イベントエントリの詳細情報が表示されます。

Entity ID

この監査イベントがユーザー、エージェント、またはピア KMA から要求された操作に応答して生成されている場合、このフィールドには、その実体のユーザー指定の識別子が表示されます。それ以外の場合、このフィールドは空白です。

Entity Network Address

この監査イベントがユーザー、エージェント、またはピア KMA から要求された操作に応答して生成されている場合、このフィールドには、その実体のネットワークアドレスが表示されます。それ以外の場合、このフィールドは空白です。

KMA ID

この監査イベントを生成した KMA の名前を表示します。この KMA 名は、クラスタ内の各 KMA を区別するためのユーザーが指定した識別子です。

KMA Name

クラスタ内の各アプライアンスを識別するユーザー指定の識別子が表示されます。

Class

監査イベントエントリが属する操作のクラスが示されます。

注:

「Class」の値が「Security Violation」の場合、イベントを生成した KMA は、イベントの詳細の SNMP 通知メッセージも発行します。

取り得る値は次のとおりです。

  • Agent Access Control Management Operations

  • Agent Client Generated Audits

  • Agent Management Operations

  • Appliance Management Operations

  • Audit Log Agent Operations

  • Audit Log Management Operations

  • Audit Log Operations

  • Backup Management Operations

  • CA Operations

  • Cluster Client Communication

  • Cluster Operations

  • Communication and Authentication

  • Console Security Management Operations

  • Data Unit Agent Operations

  • Data Unit Management Operations

  • Discovery Operations

  • Key Group Agent Operations

  • Key Group Management Operations

  • Key Policy Management Operations

  • License Key Management Operations

  • Local Management Operations

  • Management Client Generated Audits

  • Passphrase Agent Operations

  • Replication Operations

  • Retrieve Certificate Operations

  • Role Management Operations

  • SNMP Management Operations

  • Security Management Operations

  • Security Parameter Management Operations

  • Security Violation

  • Site Management Operations

  • System Messages

  • User Management Operations。

Retention Term

監査イベントレコードの定義された保持期間が表示されます。取り得る値は、「Long Term」、「Medium Term」、および「Short Term」です。

Long Term

長い期間格納する必要のあるイベントレコード。

Medium Term

中程度の期間格納する必要のあるイベントレコード。

Short Term

短い期間格納する必要のあるイベントレコード。

Audit Log Entry ID

監査イベントエントリの各タイプを識別する一意のシステム生成識別子が表示されます。

Audit Log ID

各監査イベントエントリを識別する一意のシステム生成識別子が表示されます。

監査ログに関する詳細情報を表示する場合は、その監査ログを強調表示して「Details」ボタンをクリックします。詳細については、"監査ログの詳細の表示"を参照してください。

監査ログをエクスポートするには、「Export」ボタンをクリックします。詳細については、"監査ログのエクスポート"を参照してください。

監査ログの詳細の表示

監査ログの詳細を表示するには:

  1. 「Audit Event List」画面から、詳細情報を表示する監査ログエントリを選択して「Details」ボタンをクリックするか、またはそのエントリをダブルクリックします。「Audit Event Details」ダイアログボックスが表示されます。このダイアログボックスでは、「Previous」、「Close」、および「Next」ボタンを除くすべてのフィールドが無効になっています。

    audit_event_details.jpgについては周囲の文で説明しています。

  2. 前または次の監査イベントにアクセスするには、「Previous」または「Next」ボタンをクリックします。「Audit Event List」画面に戻るには、「Close」ボタンをクリックします。

監査ログのエクスポート

エクスポート機能を使用すると、すべてまたは特定の監査ログエントリをワークステーション上のテキストファイルにエクスポートできます。次に、そのファイルをスプレッドシートアプリケーションで表示できます。

監査ログをエクスポートするには:

  1. 「Audit Event List」画面で、「View」メニューから「Save Report...」を選択するか、または Ctrl-S を押します。

  2. 終了したら、「Start」ボタンをクリックしてエクスポートプロセスを開始します。「Audit Event List」画面でエントリにフィルタを適用した場合は、該当するエントリのみがエクスポートされます。フィルタを適用していない場合は、すべての監査イベントがエクスポートされます。

  3. エクスポート処理が完了すると、エクスポートされた監査ログの数が、ダイアログボックスの下部に表示されます。

  4. このダイアログボックスを閉じて「Audit Event List」画面に戻るには、「Close」ボタンをクリックします。

「Data Unit List」メニュー

「Data Unit List」メニューを使用すると、次を行うことができます。

  • データユニットの表示

  • データユニットの詳細の表示および変更

  • データユニットの活動履歴の表示

  • データユニットの運用後鍵の破棄。

「Data Units」メニューの使用法については、"「Data Unit List」メニュー"を参照してください。

鍵の危殆化

コンプライアンス責任者は、鍵を危殆化することを承認されています。

  1. 「Data Unit List」画面から、変更するデータユニットを選択して「Details」ボタンをクリックします。「Data Unit Details」ダイアログボックスが表示されます。

    data_unit_details.jpgについては周囲の文で説明しています。

  2. 「Key List」タブをクリックして、このデータユニットに関連付けられた鍵を表示します。

    data_unit_det_key_list_co.jpgについては周囲の文で説明しています。

  3. 危殆化する鍵を選択し、「Compromise」ボタンをクリックします。鍵の危殆化を確認するダイアログボックスが表示されます。

  4. Yes」ボタンをクリックします。次のダイアログボックスが表示され、コメントを入力するよう求められます。

    dataunit_keylist_comp_cmnt.jpgについては周囲の文で説明しています。

  5. 選択された鍵の危殆化に関するコメントを入力します。「Compromise」ボタンをクリックした場合は、鍵の危殆化を確認する別のダイアログボックスが表示されます。

  6. Yes」ボタンをクリックします。危殆化された鍵の数を示すダイアログボックスが表示されます。

「Key List」メニュー

「Key List」メニューを使用すると、次を行うことができます。

  • データユニットをクエリーする必要がない、鍵の直接クエリー

  • 特定のデータユニットに関連付けられている鍵のクエリー。

key_list_menu.jpgについては周囲の文で説明しています。

鍵のクエリー

鍵を直接クエリーするには:

  1. 「System Management」メニューから、「Key List」を選択します。「Key List」画面が表示されます。

    key_list.jpgについては周囲の文で説明しています。

  2. 「Details」ボタンをクリックし (または鍵をダブルクリックし)、その鍵に関する詳細情報を表示します。「Key Details」ダイアログが表示されます。

    コンプライアンス責任者は、この鍵が関連付けられている鍵グループを変更することができます。オペレータは、この鍵がデータユニットと関連付けられているかどうかを示す「In Use By Data Unit」フラグを変更することができます。

    key_list_details.jpgについては周囲の文で説明しています。

  3. 「Data Unit Info」タブをクリックして、この鍵に関連付けられているデータユニットの情報を表示します (ある場合)。

    key_list_data_unit.jpgについては周囲の文で説明しています。

その他の機能

コンプライアンス責任者は、次の操作を行うこともできます。

  • 監査イベントリストの表示

  • システム時間の表示

  • KMA ステータスのロックおよびロック解除

  • 「KMA List」画面へのアクセス。

  • この OKM クラスタの KMA に関して、KMA パフォーマンス情報のクエリー。

  • GUI が接続している KMA に関するロード情報のクエリー。

  • エージェントパフォーマンス情報のクエリー。

  • データユニットリストの鍵カウントのクエリー。

これらの機能の手順については、章 5, "セキュリティー責任者の操作"を参照してください。