7 オペレータの操作

この章では、オペレータの役割が付与されたユーザーが実行できる操作について説明します。複数の役割が割り当てられている場合は、その役割の実行手順について、該当する章を参照してください。

オペレータの役割

オペレータは、システムの日常業務を管理します。

「Key Groups」メニュー

「Key Groups」メニューを使用すると、次を行うことができます。

鍵グループのリストの表示
鍵グループへのエージェントの割り当ての表示
鍵グループへの転送パートナーの割り当ての表示。

key_groups_menu_op.jpgについては周囲の文で説明しています。

Key Group List

「Key Group List」メニューオプションを使用すると、鍵グループを管理できます。手順については、"「Key Group List」メニュー"を参照してください。

Agent Assignment to Key Groups

「Agent Assignment to Key Groups」メニューオプションを使用すると、鍵グループに割り当てられているエージェントを表示できます。手順については、"「Agent Assignment to Key Groups」メニュー"を参照してください。

Transfer Partner Assignment to Key Groups

「Transfer Partner Assignment to Key Groups」オプションを使用すると、特定の鍵グループへのアクセスを許可されている一連の鍵転送パートナーの 1 つを表示できます。手順については、"「Transfer Partner Assignment to Key Groups」メニュー"を参照してください。

「Agent List」メニュー

「Agent List」メニューオプションを使用すると、次を行うことができます。

エージェントの表示
エージェントの作成
エージェントの表示および変更
既存のエージェントの削除。

エージェントリストの表示

「Agent List」メニューオプションを使用すると、特定の鍵グループに関連付けられているすべてのエージェントを表示できます。

この画面を表示するには:

「Agents」メニューから、「Agent List」を選択します。「Agent List」画面が表示されます。
鍵グループのフィールドの横にある下矢印ボタンをクリックし、鍵グループを選択します。鍵グループに関連付けられているエージェントが表示されます。

リスト全体をスクロールするか、次のいずれかのキーでエージェントにフィルタを適用することもできます。

Agent ID
Description
Site
Default Key Group
Enabled
Failed Login Attempts
Enrolled
One Time Passphrase。

表示されているエージェントリストにフィルタを適用するには、「Use」ボタンを使用します。

次に、フィールドとその説明を示します。

Filter:

KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。

Agent ID
Description
Site
Default Key Group
Enabled
Failed Login Attempts
Enrolled。

「Filter Operator」ボックス:

下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。

Equals =
Not equal <>
Greater than >
Less than <
Greater than or equals >=
Less than or equals <=
Starts with ~
Empty
Not empty。

「Filter Value」テキストボックス:

選択した属性のフィルタ条件とする値を入力します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。

「Filter Value」コンボボックス:

下矢印ボタンをクリックし、選択した属性のフィルタ条件とする値を選択します。フィルタ属性によっては、このフィルタオプションが表示されない場合もあります。

プラスボタンをクリックすると、フィルタが追加されます。

フィルタ行を削除するには、マイナスボタンをクリックします。このボタンは、複数のフィルタが表示されている場合にのみ表示されます。

Use:

このボタンをクリックすると、表示されているリストに選択したフィルタが適用され、リストの最初のページが表示されます。

Refresh:

このボタンをクリックすると、リストがリフレッシュされます。

Reset:

このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。

このボタンをクリックすると、リストの最初のページに移動します。

このボタンをクリックすると、前のページに移動します。

このボタンをクリックすると、次のページに移動します。

Results in Page:

「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。

Agent ID

各エージェントを識別するユーザー指定の一意の識別子が表示されます。

Description

エージェントの説明が示されます。

Site

エージェントが属しているサイトを示す一意の識別子が表示されます。

Default Key Group

エージェントで別の鍵グループが明示的に指定されていない場合、このエージェントによって作成されるすべての鍵に関連付けられる鍵グループ。

Enabled

エージェントのステータスを示します。取り得る値は True または False です。このフィールドが False の場合、エージェントは KMA とのセッションを確立できません。

Failed Login Attempts

ログオンに失敗した回数が表示されます

Enrolled

エージェントが OKM クラスタに正常に登録されたかどうかを示します。取り得る値は True または False です。エージェントがはじめて作成されたか、またはエージェントのパスフレーズが変更された場合、このフィールドは False になります。

エージェントの作成

エージェントを作成するには:

「Agent List」画面から、「Create」ボタンをクリックします。「Create Agent」ダイアログボックスが表示され、「General」タブが開きます。
次のパラメータを設定します。

Agent ID

エージェントを一意に識別する値を入力します。この値は、1 から 64 文字で指定できます。

Description

エージェントを説明する値を入力します。この値は、1 から 64 文字で指定できます。

Site ID

下矢印ボタンをクリックし、エージェントが属するサイトを強調表示します。このフィールドはオプションです。

Flags

エージェントがパスフレーズをリセットし、エージェント ID と新しいパスフレーズで再登録しなければ X.509 証明書を取得できないようにするには、「One Time Passphrase」を選択します。これはデフォルトです。

「One Time Passphrase」を選択しない場合、エージェントはいつでも X.509 証明書を取得し、CA と証明書サービスを使用して、エージェント ID とパスフレーズによって正常に認証できます。

テープドライブエージェントは、デフォルト値を指定するようにしてください。PKCS#11 タイプのエージェントの場合、特にユーザーが複数のノードから OKM に対して認証される可能性のあるクラスタ構成では、この設定がより便利になります。

Default Key Group ID

コンプライアンス責任者の特権も持っている場合、下矢印をクリックし、デフォルトの鍵グループを強調表示します。
「Passphrase」タブを開きます。
次のパラメータを設定します。

Passphrase

このユーザーのパスフレーズを入力します。最小文字数は 8 文字、最大文字数は 64 文字です。デフォルト値は 8 です。

パスフレーズの要件:
- パスフレーズに、ユーザーのエージェント ID を含めないでください。
- パスフレーズには、大文字、小文字、数値、または特殊文字の 4 つの文字クラスのうち 3 つを使用する必要があります。
- 使用可能な特殊文字は、次のとおりです。
  
  ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?
- タブ、改行などの制御文字は使用できません。
注:
パスフレーズの最小文字数の要件を変更する方法については、"セキュリティーパラメータの変更"を参照してください。

Confirm Passphrase

「Enter Passphrase」フィールドに入力した値と同じ値を入力します。

値を入力した「Create Agent」ダイアログボックスの例を次に示します。
「Save」ボタンをクリックします。エージェントレコードがデータベースに追加され、「Agent List」画面に表示されます。
エージェント固有のインタフェースを使用して、エージェント固有の登録手順を完了します。たとえば、StorageTek ドライブの場合は、VOP (Virtual Operator Panel) を使用して登録手順を完了する必要があります。

エージェントの表示および変更

エージェントの詳細を変更するには:

「Agent List」画面から、詳細情報を表示するエージェントエントリをダブルクリックするか、またはそのエージェントエントリを強調表示して「Details」ボタンをクリックします。「Agents Details」ダイアログボックスが表示されます。
「General」タブを開き、必要に応じて次のフィールドを変更します。
- Description
- Site ID
- Flags
  - 「Enabled」 - このエージェントがクラスタと通信できるようにする場合は、このチェックボックスを選択します。
  - 「Enrolled」 - エージェントがクラスタに正常に登録されたかどうかを示します。このフィールドは読み取り専用です。
  - 「One Time Passphrase」 - エージェントがパスフレーズをリセットし、エージェント ID と新しいパスフレーズで再登録しなければ X.509 証明書を取得できないようにするには、このチェックボックスを選択します。これはデフォルトです。
- 「One Time Passphrase」を選択しない場合、エージェントはいつでも X.509 証明書を取得し、CA と証明書サービスを使用して、エージェント ID とパスフレーズによって正常に認証できます。
- テープドライブエージェントは、デフォルト値を指定するようにしてください。PKCS#11 タイプのエージェントの場合、特にユーザーが複数のノードから OKM に対して認証される可能性のあるクラスタ構成では、この設定がより便利になります。
- Default Key Group ID - コンプライアンス責任者の特権も持っている場合、下矢印をクリックし、デフォルトの鍵グループを強調表示します。
終了したら、「Save」ボタンをクリックします。OKM Manager データベースに対して変更が加えられ、「Agent List」画面に戻ります。

注:
エージェントのパスフレーズは、そのパスフレーズが危殆化されたと考えられる場合にのみ変更するようにしてください。手順については、"エージェントのパスフレーズの設定"を参照してください。

エージェントのパスフレーズの設定

エージェントのパスフレーズを設定すると、エージェントが KMA で認証を受けるためのエージェント証明書を失効させることができます。エージェント証明書またはパスフレーズ、あるいはその両方が危殆化されていると思われる場合、オペレータは、エージェントのパスフレーズ証明書を設定できます。

エージェントのパスフレーズを設定するには:

「Agent List」画面から、パスフレーズを設定するエージェントエントリをダブルクリックするか、またはそのエージェントエントリを強調表示して「Details」ボタンをクリックします。「Agent Details」ダイアログボックスが表示されます。「Passphrase」タブを開きます。
次のフィールドを変更し、「Save」ボタンをクリックします。
- Enter Passphrase
- Confirm Passphrase。
データベースが変更され、「Agents List」画面に戻ります。
エージェント固有の手順で、エージェントを再登録します。たとえば、StorageTek テープドライブの場合は、VOP (Virtual Operator Panel) を使用してエージェントを OKM クラスタに再登録する必要があります。エージェントのパスフレーズを変更すると、そのエージェントは、再登録されるまで OKM クラスタに要求を送信できなくります。

エージェントの削除

エージェントを削除するには:

「Agents List」画面で、削除するエージェントを強調表示します。次のように、選択したエージェントの削除を確認するダイアログボックスが表示されます。
「Yes」ボタンをクリックして、エージェントを削除します。エージェントがデータベースから削除され、「Agents List」画面に戻ります。削除したエージェントは表示されなくなります。

「Key Group Assignment to Agents」メニュー

「Key Group Assignment to Agents」メニューオプションを使用すると、エージェントに割り当てられている鍵グループを表示できます。手順については、"「Key Group Assignment to Agents」メニュー"を参照してください。

key_group_assgn_to_agents.jpgについては周囲の文で説明しています。

「Agent Performance List」メニュー

このメニューオプションを使用すると、エージェントのパフォーマンス情報をクエリーすることができます。

このパネルには、各エージェントによって発行された鍵作成要求、鍵取得要求、および鍵 - ラッピング鍵登録要求に関するパフォーマンス情報が表示されます。この情報には、レートまたはカウント値、および処理時間が含まれます。鍵インポート要求はこれらの値に含まれません。

注:

HP および IBM LTO テープドライブは、鍵作成要求を発行しません。これらは、代わりに鍵取得要求を発行します。

レート値は、選択された期間にこのエージェントが発行したレートを表します。これらは、選択されたレート表示間隔の時間単位に渡るこれら要求の推定平均レート (たとえば、1 日あたりの鍵作成要求の推定平均値) として表されます。レート表示間隔を「entire time period」に設定した場合、このパネルには選択された時間間隔内にこのエージェントが発行した要求カウントが表示されます。

処理時間は、選択された期間内にこのエージェントによって発行された要求を処理するためにかかった平均時間 (ミリ秒) を表します。これらの処理時間は、KMA の観点からのものであり、内部的に要求を処理するために必要な時間を表します。これらには、ネットワーク上の伝送時間や SSL 接続を確立するために必要な時間は含みません。

要求処理時間が利用可能になるには、OKM クラスタがレプリケーションバージョン 15 以降を使用する必要があります。

agent_performance_menu.jpgについては周囲の文で説明しています。

エージェントパフォーマンスをクエリーするには:

「Agents」メニューから、「Agent Performance List」を選択します。
エージェントの詳細情報を表示するには、エージェントを選択し、「Details」ボタンをクリックします (またはエージェントをダブルクリックします)。「Agent Performance Details」ダイアログが表示されます。

「Import Keys」メニュー

このメニューオプションは、鍵とデータユニットを OKM クラスタにインポートします。鍵とデータユニットの情報は、鍵転送パートナーから受信された鍵転送ファイルに含まれています。

注:

この画面は、鍵を OKM クラスタにアップロードしてインポートするために使用します。これらの鍵は、別の OKM クラスタからエクスポートされます。

鍵をインポートするには:

「Transfer Partners」メニューから「Import Keys」を選択します。「Import Keys」画面が表示されます。
次のパラメータを設定します。

Destination Key Group:

これらの鍵のインポート先となる鍵グループを選択します。

この鍵グループの鍵ポリシーの「Allow Imports」フラグが選択されている必要があります。この鍵グループは、選択した送信側転送パートナーに対して許可された鍵グループである必要があります。

Sending Transfer Partner:

これらの鍵をエクスポートした送信側転送パートナーを選択します。

Key Transfer File:

鍵転送ファイルの名前を入力します。また、「Browse」をクリックして宛先パスを選択することもできます。
「Start」ボタンをクリックして、アップロードおよび鍵インポートプロセスを開始します。ファイルがアップロードされて適用されたことを示すメッセージが表示されます。

データユニット

データユニットは、ディスク、テープ、オブジェクトなどの論理ストレージデバイスです。データユニットは、鍵グループに関連付けられている有効な鍵ポリシーによってセキュリティー保護されます。エージェントは、選択したデータユニットにアクセス可能である必要があります。

注:

オペレータは、データユニットの鍵グループの変更を除くすべての機能を実行できます。データユニットの鍵グループを変更できるのは、コンプライアンス責任者のみです。

「Data Unit List」メニュー

「Data Unit List」メニューを使用すると、次を行うことができます。

データユニットの表示
データユニットの詳細の表示および変更
データユニットの活動履歴の表示
データユニットの運用後鍵の破棄
鍵カウントの表示。

data_unit_list_menu.jpgについては周囲の文で説明しています。

データユニットの表示

データユニットを表示するには、「Data Units」メニューから「Data Unit List」を選択します。「Data Unit List」画面が表示されます。

data_unit_list_keycnts.jpgについては周囲の文で説明しています。

データベース全体をスクロールするか、次のいずれかのキーでデータユニットリストにフィルタを適用することもできます。

Data Unit ID
External Unique ID
Description
External Tag
Created Date
Exported
Imported
State。

表示されているデータユニットリストにフィルタを適用するには、「Use」ボタンを使用します。

次に、フィールドとその説明を示します。

Filter:

KMA へのクエリーの結果にフィルタを適用するために使用できるフィールドが表示されます。取り得る値は次のとおりです。

Data Unit ID
External Unique ID
Description
External Tag
Created Date
Imported
Exported
State。

「Filter Operator」ボックス:

下矢印ボタンをクリックし、必要なフィルタ演算子を選択します。取り得る値は次のとおりです。

Equals =
Not equal <>
Greater than >
Less than <
Greater than or equals >=
Less than or equals <=
Starts with ~
Empty
Not empty。

Show Data Units in Any Key Group。Use:

このボタンをクリックすると、表示されているリストにフィルタが適用されます。

Refresh:

このボタンをクリックすると、リストがリフレッシュされます。

Reset:

このボタンをクリックすると、すべてのフィルタが削除され、表示されているリストがリセットされて最初のページが表示されます。

このボタンをクリックすると、リストの最初のページに移動します。

このボタンをクリックすると、前のページに移動します。

このボタンをクリックすると、次のページに移動します。

Results in Page:

「Options」ダイアログボックスの「Query Page Size」フィールドで構成した 1 ページ当たりのレコード数が表示されます。

Data Unit ID

各データユニットを識別する一意のシステム生成識別子が表示されます。

External Unique ID

データユニットの一意の外部識別子が表示されます。

この値はエージェントによって OKM に送信されるため、外部のエンドユーザーには表示されない可能性があります。LTO Gen 4 および Gen 5 テープの場合、この値は、製造時にカートリッジに焼き付けられたカートリッジのシリアル番号です。この値を、光学式バーコードや ANSI テープラベルのボリュームシリアル番号 (VOLSER) と混同しないでください。この値は、StorageTek テープドライブでは使用されません。

Description

データユニットの説明が示されます。

External Tag

データユニットの一意の外部タグの説明が示されます。

StorageTek テープライブラリ内に存在するテープ、または ANSI 標準ラベルの付いたテープの場合、このフィールドは volser になります。ライブラリ内に存在するテープに ANSI ラベルが付いているときに、ライブラリの volser (つまり、光学式バーコード) が ANSI ラベルに記載されている volser とは異なる場合は、ライブラリの volser が使用されます。ANSI ラベルを付けずにスタンドアロンドライブで書き込まれたテープの場合、このフィールドは空白になります。

注:

LTO Gen 4 および Gen 5 テープドライブで書き込まれたデータユニットの場合は、32 文字を埋めるために、このフィールドの右側が空白でパディングされます。「Equals =」フィルタ演算子よりも「Starts With ~」フィルタ演算子を使用するほうが便利なことがあるため、空白を追加して「External Tag」をパディングする必要はありません。たとえば、「Starts With」フィルタを使用すると、”External Tag” ~ ”ABCDEF” のように入力できます。同じ例に対して「Equals」フィルタを使用すると、”External Tag” = ”ABCDEF ” のように入力する (32 文字を埋めるためにパディングする) 必要があります。

Created Date

データユニットが作成または登録された日時を示します。

Exported

このデータユニットに関連付けられている鍵がエクスポートされたかどうかを示します。

Imported

このデータユニットに関連付けられている鍵がインポートされたかどうかを示します。

State

データユニットの状態を示します。取り得る値は次のとおりです。

「No Key」: データユニットが作成されたが、まだ鍵が作成されていない場合に設定されます。
「Readable」: データユニットに、そのデータユニットの少なくとも一部を復号化できる (読み取ることのできる) 鍵が存在する場合に設定されます。
「Normal」: データユニットに、そのデータユニットの少なくとも一部を復号化できる (読み取ることのできる) 鍵が存在する場合に設定されます。さらに、データの暗号化に使用できる「Protect-and-Process」状態の鍵が、データユニット内に 1 つ以上存在します。したがって、データユニットは書き込み可能になります。
Needs Re-key:「Protect-and-Process」状態の鍵がデータユニット内に 1 つもない場合に設定されます。データユニットの鍵が再作成され、新しいアクティブな鍵が割り当てられるまで、データを暗号化してこのデータユニットに書き込まないでください。「Protect-and-Process」状態ではない鍵を暗号化に使用しないようにするのは、エージェントの責任です。データユニットには「Process Only」、「Deactivated」、または「Compromised」状態の鍵が存在する可能性があります。これら 3 つの状態の鍵は、復号化に使用できます。
「Shredded」: このデータユニットのすべての鍵が破棄された場合に設定されます。データユニットの読み取りまたは書き込みを行うことはできません。ただし、このデータユニットに対して新しい鍵を作成することができ、作成するとデータユニットの状態は「Normal」に戻ります。

データユニットの詳細の表示および変更

注:

ユーザーがオペレータでない場合は、データユニットの詳細情報を表示すると、すべてのフィールド (「Save」ボタンを含む) が無効になります。コンプライアンス責任者である場合、「Key Group」フィールドが有効になります。「Key List」タブにある「Compromise」ボタンは、ユーザーがコンプライアンス責任者である場合は有効、それ以外の場合は無効になります。

データユニットの情報を変更するには:

「Data Unit List」画面から、変更するデータユニットを選択して「Details」ボタンをクリックします。「Data Unit Details」ダイアログボックスが表示されます。
次のパラメータを変更できます。

Description

新しい値を入力します。元の情報は、登録時にソフトウェア暗号化ドライバによって提供されたものです。この値は 1 から 64 文字、または空白で指定できます。

重要－「Description」フィールドに「PKCS#11v2.20」の文字列が含まれている場合は、Oracle Database の Transparent Data Encryption (TDE) に使用される特殊鍵を表します。このフィールドを変更しないでください。変更すると、OKM での TDE の処理方法が変更される場合があります。

External Tag

データユニットの一意の外部識別子を入力します。この値は 1 から 64 文字、または空白で指定できます。このフィールドには、通常、テープカートリッジのラベルまたはバーコードが表示されます。
「Save」ボタンをクリックして変更を保存します。

次のフィールドは編集できません。

「General」タブ

Data Unit ID

External Unique ID

Created Date

State

Flags Imported/Exported

「Key List」タブ

data_unit_key_list_revoked.jpgについては周囲の文で説明しています。

Data Unit ID

データユニットを一意に識別します。

Data Unit Description

データユニットの説明が示されます。

Key ID

データユニットの鍵情報が表示されます。

Key Type

この鍵が使用する暗号化アルゴリズムのタイプを示します。取り得る値は AES-256 だけです。

Created Date

鍵が作成された日時が表示されます。

Activation Date

鍵が有効になった日時が表示されます。これは、鍵が最初にエージェントに付与された日時です。また、鍵の暗号化期間と暗号化有効期間が開始する日付と時間でもあります。

Destroyed Date

鍵が破棄された日付が表示されます。このフィールドが空白である場合、鍵は破棄されていません。

Destruction Comment

鍵の破棄に関するユーザーが指定した情報が表示されます。このフィールドが空白である場合、鍵は破棄されていません。

Exported

データユニットがエクスポートされたかどうかが示されます。

Imported

データユニットがインポートされたかどうかが示されます。

Derived

その鍵が、マスター鍵プロバイダによって生成されたマスター鍵から派生したかどうかを示します。詳細については、『OKM-ICSF Integration Guide』を参照してください。

Revoked

このデータユニットに関連付けられている鍵がエージェントによって取り消されたかどうかを示します。"鍵ポリシーの表示および変更"を参照してください。

OKM GUI の接続先 KMA が OKM 2.5.2 以上を実行しているが、現在 OKM クラスタはレプリケーションバージョン 13 以前を使用している場合、この属性は「(Unknown)」と表示されます。

Key Group

データユニットに関連付けられた鍵グループが表示されます。

Encryption End Date

鍵が使用されなくなった日時、またはデータの暗号化に使用されなくなった日時が表示されます。

Deactivation Date

鍵が無効になる日時、または無効になった日時が表示されます。

Compromised Date

鍵が危殆化された日付が表示されます。このフィールドが空白である場合、鍵は危殆化されていません。

Compromised Comment

鍵の危殆化に関するユーザーが指定した情報が表示されます。このフィールドが空白である場合、鍵は危殆化されていません。

Key State

データユニットの鍵の状態を示します。取り得る値は次のとおりです。

Generated

鍵が OKM クラスタ内のいずれかの KMA 上で作成された場合に設定されます。この状態の鍵は、マルチ OKM クラスタ内のほかの少なくとも 1 つの KMA にレプリケートされるまで、生成済みのままになります。単一の KMA のみで構成されるクラスタでは、少なくとも 1 つのバックアップに記録されるまで、鍵は「Generated」状態のままになります。

Ready

レプリケーションまたはバックアップによって鍵が損失しないように保護されている場合は、この値に設定されます。準備完了状態の鍵は、割り当てに使用できます。

Protect and Process

暗号化エージェントが新しい鍵の作成を要求したときに、鍵がすでに割り当てられていると、この値に設定されます。この状態の鍵は、暗号化と復号化の両方に使用できます。

Process Only

鍵が割り当てられているが、鍵の暗号化期間を過ぎている場合には、この値に設定されます。この状態の鍵は、復号化には使用できますが、暗号化には使用できません。

Deactivated

鍵の暗号有効期間が過ぎているが、情報を処理 (復号化) するために鍵が必要となる可能性がある場合には、この値に設定されます。

Compromised

承認されていない実体に鍵が渡された場合、または承認されていない実体によって鍵が検出された場合には、この値に設定されます。この状態の鍵は、復号化には使用できますが、暗号化には使用できません。

Incompletely Destroyed

鍵が破棄されたが、1 つ以上のバックアップ内にまだ存在している場合には、この値に設定されます。

Completely Destroyed

破棄された鍵が存在していたすべてのバックアップが破棄された場合には、この値に設定されます。

Compromised and Incompletely Destroyed

危殆化された鍵が 1 つ以上のバックアップ内にまだ存在している場合には、この値に設定されます。

Compromised and Completely Destroyed

危殆化された鍵が存在していたすべてのバックアップが破棄された場合には、この値に設定されます。

Recovery Activated

復旧アクションによって鍵がデータユニットにリンクされたかどうかを示します。この状態は、鍵が OKM クラスタ内のいずれかの KMA によってデータユニットのために使用されたあと、障害のために、その鍵があとでそのデータユニットのために別の KMA から要求された場合に発生します。障害 (ネットワーク停止など) のために、データへの鍵の割り当てが 2 番目の KMA に伝播されなかった場合は、その 2 番目の KMA によってデータユニットへのリンクが作成されます。このような鍵は「Recovery Activated」状態になり、管理者が、システムで KMA またはネットワークの機能停止が発生しているかどうかを評価することになります。取り得る値は True と False です。

データユニット鍵の詳細

「Data Unit Details」画面から、詳細を表示する鍵を選択して「Details」ボタンをクリックします。次の画面が表示されます。

dataunit_keydets_inuse.jpgについては周囲の文で説明しています。

In Use By Data Unit

レプリケーションバージョンが少なくとも 14 である場合、オペレータはこの鍵と関連するデータユニットとの関係を示す「In Use By Data Unit 」チェックボックスを変更することができます。このチェックボックスを選択すると、テープドライブエージェントで使用される鍵ポリシーが不注意で更新されて「Allow Agents To Revoke Keys」属性が有効になったときに、役立つことがあります。この属性の説明については、"鍵ポリシーの表示"を参照してください。

「Backups with Destroyed Keys List」タブ

dataunit_dets_bkup_destrky.jpgについては周囲の文で説明しています。

データユニットは、データユニット鍵が含まれるすべてのバックアップが破棄されるまで、「Completely Destroyed」とは見なされません。

「Data Unit Details」ダイアログの「Backups with Destroyed Keys List」タブは、選択したデータユニットのデータユニット鍵が含まれるバックアップと、それらのバックアップの破棄のステータスを特定するために役立ちます。

バックアップに特定のデータユニット鍵が含まれているかどうかは、次のように判断します。

バックアップにデータユニット鍵が含まれるのは、データユニット鍵が作成されたあとにバックアップが作成され、かつそのデータユニット鍵がまだ破棄されていない場合か、またはデータユニット鍵が破棄され、かつその破棄がバックアップが作成されたあとに実行された場合です。

ただし、日時を比較する場合は、クラスタ内のさまざまな KMA の時間が自動的に同期化されていない (NTP サーバーが指定されていない) ため異なる時間が報告される可能性を考慮する必要があります。KMA 間で時間が違う可能性を考慮して、比較にはバックアップ時間枠が使用されます。バックアップ時間枠は、5 分間に固定されています。比較チェックは、バックアップ時間枠を使用して、次のように行われます。

バックアップにデータユニット鍵が含まれるのは、バックアップ作成以降の 5 分以内にバックアップが作成され、かつバックアップ作成以降の 5 分以内にデータユニット鍵が破棄された場合です。

バックアップ時間枠は、特定のバックアップ内のデータユニットが実際には存在しているのに、存在していないと誤って報告される可能性を最小限に抑えるために使用されます。このような状況は「偽陰性」と呼ばれ、これによりデータ破棄の適合性要件が非常に損なわれます。ただし、バックアップ時間枠を使用した場合には、バックアップ内のデータユニット鍵が実際は存在していないのに、存在していると誤って報告される可能性が高くなります。「偽陰性」とは異なり、「偽陽性」はデータ破棄の適合性要件を損なうことがありません。

Data Unit ID

データユニットを一意に識別します。

Data Unit Description

データユニットの説明が示されます。

Data Unit Destruction Status

データユニットの破棄のステータスを示します。

Backup ID

バックアップを識別します。

Created Date

バックアップファイルが作成された日時、つまりバックアップが開始された日時が表示されます。

Destroyed Date

バックアップファイルが破棄された日時が表示されます。

Pending:

バックアップがまだ保留中であることを示します。取り得る値は True または False です。

Completed Date:

バックアップファイルの作成が完了した日時が表示されます。

Downloaded Date:

バックアップファイルがダウンロードされた日時が表示されます。

「Save」ボタンをクリックして変更を保存します。

運用後鍵の破棄

データユニットに関連付けられている運用後鍵を破棄するには:

「Data Unit List」画面から、破棄するデータユニットを強調表示し、「Destroy Keys」ボタンをクリックします。
次のように、破棄する鍵の指定を求めるダイアログボックスが表示されます。

Deactivated keys

鍵の暗号有効期間が過ぎているが、情報を処理 (復号化) するために鍵が必要となる可能性がある場合には、このチェックボックスを選択します。

Compromised keys

承認されていない実体に鍵が渡された場合、または承認されていない実体によって鍵が検出された場合に鍵を破棄するには、このチェックボックスを選択します。

これらの鍵の破棄に関するコメントを入力します。

Destruction Comment
「Destroy」ボタンをクリックすると、これらの鍵の破棄を確認する別のダイアログボックスが表示されます。
「Yes」ボタンをクリックします。破棄した鍵の数を示す別のダイアログボックスが表示されます。

鍵カウントの表示

関連付けられた鍵を持つデータユニット、および各データユニットに関連付けられている鍵の数を一覧表示することができます。鍵カウントを表示するには:

「Data Unit List」画面で、「Key Counts」ボタンをクリックします。
次のダイアログボックスが表示されます。

「Software Upgrade」メニュー

「Software Upgrade」メニューオプションを使用すると、オペレータは、ソフトウェアアップグレードプロセスの最初のフェーズを実行できます。

ソフトウェアアップグレードファイルを KMA にアップロードする
アップグレードをただちに適用する。

注:
このプロセスの 2 番目のフェーズ (ソフトウェアバージョンのアクティブ化) は、セキュリティー責任者が実行する必要があります。詳細については、"ソフトウェアのアップグレード"を参照してください。

ソフトウェア更新は Oracle によって署名され、適用前に KMA によって検証されます。

software_upgrd_men_top_lvl.jpgについては周囲の文で説明しています。

ソフトウェアアップグレードの実装のガイドライン

この機能を実行する前に、システムをバックアップしてください。手順については、"バックアップの作成"を参照してください。
OKM Manager の GUI リリースは、KMA にロードするアップグレードのバージョンと一致するものを使用してください。
KMS 2.1 以前を実行している KMA を OKM 2.3 以降にアップグレードするには、まずその KMA を KMS 2.2 にアップグレードする必要があります。
OKM Manager が KMA にリモート接続しているか、または OKM Manager と KMA の間の接続が低速な場合、アップロードと適用の処理に時間がかかる可能性があります。これを軽減するために、OKM Manager がインストールされているノートパソコンまたはワークステーション、および、KMA と同じサブネットに接続しているノートパソコンまたはワークステーションに、ソフトウェアアップグレードファイルをダウンロードできます。OKM Manager と KMA の間にルーターがある場合、アップグレード処理の速度が低下する場合があります。
アップロードと適用の処理には、OKM Manager と KMA 間の接続環境が良好な場合でも、最短で約 30 分以上かかります。アクティブ化処理には、最短でも 5 - 15 分かかります。アップロード処理があまりに低速な場合、同じサブネットに KMA として接続してみてください。
(ネットワーク負荷の分散を促進するために) 各 KMA にソフトウェアアップグレードファイルを一度に 1 つずつアップロードおよび適用してから、(同時にオフラインになる KMA の数を最小化するために) 各 KMA で一度に 1 つずつソフトウェアアップグレードをアクティブ化してください。
いずれかのアップグレード処理 (アップロード、検証、適用、アクティブ化、レプリケーションバージョンの切り替え) が失敗した場合、OKM Manager は、失敗の理由と提案する解決方法を説明する監査メッセージを生成します。
アップグレードされた KMA では技術サポートアカウントが使用不可になっており、必要な場合はアカウントをふたたび使用可能にする必要があります。

ソフトウェアアップグレードのアップロードおよび適用

ソフトウェアアップグレードプロセスの最初のフェーズは、ソフトウェアアップグレードファイルのアップロードと適用です。

ソフトウェアアップグレードファイルを配信場所から PC またはワークステーションにダウンロードします。バージョンはファイル名に示されています。

注:
このファイルを、OKM Manager GUI から移動できる場所に保存します。
「Local Configuration」メニューから、「Software Upgrade」を選択します。「Software Upgrade」画面が表示されます。

ソフトウェアのアクティブなバージョンが強調表示され、「Active」列が「True」に設定され、アクティブでないバージョンが表示されます。

この画面に表示されるボタンには、次のものが含まれます。

Activate

セキュリティー責任者は、アクティブでないソフトウェアバージョンを選択し、このボタンをクリックして選択されたソフトウェアバージョンをアクティブにできます。このソフトウェアバージョンがアクティブ化されることを知らせるメッセージが表示され、KMA がリブートします。

Switch Replication Version

セキュリティー責任者は、アクティブなソフトウェアバージョンを選択し、このボタンをクリックして現在のレプリケーションバージョンを切り替えることができます。

Software Upgrade File Name

ソフトウェアアップグレードファイルの名前を入力します。

Browse

ローカルシステム上のソフトウェアアップグレードファイルを見つけるには、このボタンをクリックします。

Upload and Apply

このボタンをクリックして、アップロードおよび適用プロセスを開始します。ソフトウェアアップグレードファイルがアップロードされ適用された時間を示すメッセージが表示されます。
「Software Upgrade File Name」フィールドに、ソフトウェアアップグレードファイルの名前を入力します。また、「Browse」ボタンを選択してファイルを見つけることもできます。「Upload and Apply」ボタンをクリックします。

OKM はアップロード、確認、および適用プロセスを開始し、プロセスがどの手順にあるかを示す処理進捗インジケータを表示します。

注:
アップロードプロセスによってネットワークに一定のトラフィックが追加されるため、ビジー状態にあるクラスタでは KMA を同時にアップロードしないようにすることをお勧めします。

ソフトウェアバージョンのアクティブ化

ソフトウェアアップグレードプロセスの 2 番目のフェーズは、アップロードして適用したアクティブでないソフトウェアバージョンのアクティブ化です。セキュリティー責任者は、この処理を実装する必要があります。詳細については、"ソフトウェアのアップグレード"を参照してください。

その他の機能

オペレータは、次のメニューにアクセスすることもできます。

バックアップファイルの詳細情報の表示手順については、"「Backup List」メニュー"を参照してください。
監査イベントリストの表示手順については、"「Audit Event List」メニュー"を参照してください。
KMA のリストの表示手順については、"「KMA List」メニュー"を参照してください。
サイトのリストの表示手順については、"「Site List」メニュー"を参照してください。
SNMP Manager のリストの表示手順については、"「SNMP Manager List」メニュー"を参照してください。
KMA のロックステータスを表示する手順については、"KMA のロック/ロック解除"を参照してください。
「KMA List」メニューにアクセスします。"「KMA List」メニュー"を参照してください。
この OKM クラスタの KMA に関する KMA パフォーマンス情報をクエリーします。"「KMA Performance List」メニュー"を参照してください。
GUI が接続している KMA に関するロード情報をクエリーします。"「Current Load」メニュー"を参照してください。
データユニットをクエリーせずに、鍵を直接クエリーします。"「Key List」メニュー"を参照してください。