目次

図のリスト

表のリスト

タイトルおよびコピーライト情報

はじめに

• ドキュメントのアクセシビリティー

更新情報

• リビジョン 01
• リビジョン 02

1 概要

• OKM の概念
  • OKM クラスタ
  • エージェント
  • ネットワーク接続
  • 初期設定 - 直接接続またはリモートコンソール
  • 初期設定 - QuickStart プログラム
  • 鍵のライフサイクル
  • 状態遷移
  • OKM 鍵の状態と遷移
    • アクティブ化前 (Pre-activation)
    • アクティブ (Active)
    • 非アクティブ (Deactivated)
    • 危殆化 (Compromise)
    • 破棄 (Destroyed)/破棄危殆化 (Destroyed Compromised)
  • ユーザーと役割ベースのアクセス制御
    • 各役割に許可されている操作
    • 定足数保護
  • データユニット、鍵、鍵グループ、および鍵ポリシー
• TCP/IP 接続と KMA
• ネットワーク内の OKM
• OKM Manager のソフトウェア要件
• オンラインヘルプの使用法
• 役割ベースのアクセス制御
  • 役割ベースの操作
• Key Management Appliance の設定および管理

2 はじめに

• サービスプロセッサを介した KMA へのアクセス
• ELOM/ILOM を介した KMA への接続
  • ネットワーク接続の使用 - ELOM
  • ネットワーク接続の使用 - ILOM
  • OKM コンソールの起動
• 追加のサービスプロセッサの手順
• QuickStart プログラムの実行
  • QuickStart の起動
  • ネットワーク構成の指定
    • KMA の管理 IP アドレスの設定
    • 技術サポートアカウントの有効化
    • KMA のサービス IP アドレスの設定
    • ゲートウェイの表示/追加/削除
    • DNS 設定の指定
  • KMA の初期化
  • クラスタの構成
    • 鍵分割資格の入力
    • 初期セキュリティー責任者ユーザー資格の入力
    • 自律ロック解除設定の指定
    • 鍵プールサイズの設定
    • KMA の時間の同期
  • 既存のクラスタへの参加
  • クラスタのバックアップからの復元
  • エージェントの追加およびテープドライブの登録

3 OKM Manager の使用

• OKM Manager について
• OKM Manager ソフトウェアのインストール
  • OKM のインストールの開始
• OKM Manager の起動
  • Windows での OKM Manager の起動
  • Solaris での OKM Manager の起動
• OKM Manager GUI の概要
  • 「System」メニュー
    • 「System」メニューのオプション
  • 「View」メニュー
    • 「View」メニューのオプション
  • 「Help」メニュー
    • 「Help」メニューのオプション
  • ツールバーのボタン
  • ショートカットキー
  • メニューアクセラレータキー
  • オンラインヘルプの使用法
• OKM Manager GUI のペイン
  • OKM 管理操作ツリーペイン
  • OKM 管理操作の詳細ペイン
  • セッション監査ログペイン
  • ステータスバー
  • パネル
• OKM Manager ソフトウェアのアンインストール
  • 実行可能ファイルの起動
  • 「プログラムの追加と削除」の起動 (Windows のみ)
  • アンインストール処理の完了

4 「System」メニューの使用

• クラスタへの接続
• クラスタプロファイルの作成
• クラスタプロファイルの削除
• KMA からの切断
  • パスフレーズの変更
• 証明書の保存
  • PKCS#12 形式から PEM 形式への変換
• 構成設定値の指定
  • ゾーン ID を含む IPv6 アドレス
• OKM Manager の終了

5 セキュリティー責任者の操作

• セキュリティー責任者の役割
• 「KMA List」メニュー
  • KMA の表示
  • SCA 6000 カードの確認
  • KMA の作成
  • KMA の詳細の表示および変更
  • KMA のパスフレーズの設定
  • KMA の削除
• 「KMA Performance List」メニュー
  • KMA のクエリー
• 「User List」メニュー
  • ユーザーの表示
  • ユーザーの作成
  • ユーザーの詳細の表示および変更
  • ユーザーのパスフレーズの設定
  • ユーザーの削除
• 「Role List」メニュー
  • 役割の表示
  • 役割の操作の表示
• 「Site List」メニュー
  • サイトの表示
  • サイトの作成
  • サイトの詳細の表示および変更
  • サイトの削除
• 「SNMP Manager List」メニュー
  • KMA の SNMP マネージャーの表示
  • 新しい SNMP マネージャーの作成
  • SNMP マネージャーの詳細の表示および変更
  • SNMP マネージャーの削除
• 鍵転送
  • 鍵転送パートナー機能
• 鍵転送処理
  • 鍵転送パートナーの構成
  • 鍵のエクスポートおよびインポート
• 「Transfer Partners」メニュー
  • Transfer Partner List
  • 転送パートナーの作成
  • 転送パートナーの詳細の表示および変更
  • 転送パートナーの削除
• 「Key Transfer Public Key List」メニュー
  • 鍵転送用公開鍵リストの表示
  • 鍵転送用公開鍵の詳細の表示
  • 鍵転送用公開鍵の作成
• 「Backup List」メニュー
  • バックアップファイルの履歴の表示
  • バックアップの詳細の表示
  • バックアップの復元
• 「System Dump」メニュー
  • システムダンプの作成
• 「Security Parameters」メニュー
  • セキュリティーパラメータの取り出し
  • セキュリティーパラメータの変更
• コアセキュリティー
• 「Core Security Management」メニュー
• コアセキュリティーのバックアップ
  • コアセキュリティーバックアップの作成
• Key Split Configuration
  • 鍵分割構成の表示
  • 鍵分割構成の変更
  • Autonomous Unlock Option
• 「Local Configuration」メニュー
• KMA のロック/ロック解除
  • KMA のロック
  • KMA のロック解除
• ソフトウェアのアップグレード
  • ソフトウェアアップグレードの実装のガイドライン
  • ソフトウェアバージョンのアクティブ化
  • レプリケーションバージョンの切り替え
• ネットワーク構成情報
  • ネットワーク構成の表示
• 「Current Load」メニュー
  • 現行ロードの表示
• 「System Time」メニュー
  • ローカルクロック情報の取得
  • KMA のローカルクロックの調整

6 コンプライアンス責任者の操作

• コンプライアンス責任者の役割
• 鍵ポリシー
• 「Key Policy List」メニュー
  • 鍵ポリシーの表示
  • 鍵ポリシーの作成
  • 鍵ポリシーの表示および変更
  • 鍵ポリシーの削除
• 鍵グループ
• 「Key Groups」メニュー
• 「Key Group List」メニュー
  • 鍵グループの表示
  • 鍵グループの作成
  • 鍵グループの詳細の表示および変更
  • 鍵グループの削除
• 「Agent Assignment to Key Groups」メニュー
  • 鍵グループへのエージェントの割り当て
  • 鍵グループからのエージェントの削除
• 「Key Group Assignment to Agents」メニュー
  • エージェントへの鍵グループの割り当て
  • エージェントからの鍵グループの削除
• 「Key Group Assignment to Transfer Partners」メニュー
  • 鍵グループ割り当ての表示
  • 転送パートナーへの鍵グループの追加
  • 転送パートナーからの鍵グループの削除
• 「Transfer Partner Assignment to Key Groups」メニュー
  • 転送グループ割り当ての表示
  • 鍵グループへの転送パートナーの追加
  • 鍵グループからの転送パートナーの削除
  • KMS 1.0 鍵エクスポートファイルのインポート
• 「Audit Event List」メニュー
  • 監査ログの表示
  • 監査ログの詳細の表示
  • 監査ログのエクスポート
• 「Data Unit List」メニュー
  • 鍵の危殆化
• 「Key List」メニュー
  • 鍵のクエリー
• その他の機能

7 オペレータの操作

• オペレータの役割
• 「Key Groups」メニュー
  • Key Group List
  • Agent Assignment to Key Groups
  • Transfer Partner Assignment to Key Groups
• 「Agent List」メニュー
  • エージェントリストの表示
  • エージェントの作成
  • エージェントの表示および変更
  • エージェントのパスフレーズの設定
  • エージェントの削除
• 「Key Group Assignment to Agents」メニュー
• 「Agent Performance List」メニュー
• 「Import Keys」メニュー
• データユニット
• 「Data Unit List」メニュー
  • データユニットの表示
  • データユニットの詳細の表示および変更
    • データユニット鍵の詳細
    • 「Backups with Destroyed Keys List」タブ
  • 運用後鍵の破棄
  • 鍵カウントの表示
• 「Software Upgrade」メニュー
  • ソフトウェアアップグレードの実装のガイドライン
  • ソフトウェアアップグレードのアップロードおよび適用
  • ソフトウェアバージョンのアクティブ化
• その他の機能

8 バックアップオペレータの操作

• バックアップオペレータの役割
• 「Backup List」メニュー
  • バックアップファイルの履歴の表示
  • バックアップの詳細の表示
  • バックアップの作成
  • バックアップの破棄の確認
• 「KMA List」メニュー
  • 鍵プールサイズの変更
• その他の機能

9 監査者の操作

• 監査者の役割
• 「Audit List」メニュー
• 「Security Parameters」メニュー
• その他の機能

10 定足数メンバーの操作

• 定足数メンバーの役割
• 「Pending Quorum Operation List」メニュー
  • 保留中操作の詳細の表示
  • 保留中の定足数操作の承認
  • 保留中の定足数操作の削除
• その他の機能

11 OKM コンソールの使用

• OKM コンソールとは
  • KMA へのログイン
• オペレータ
• セキュリティー責任者
• その他の役割
• オペレータの役割の機能
  • KMA のリブート
  • KMA のシャットダウン
  • 技術サポートアカウントの無効化
  • プライマリ管理者の無効化
  • キーボード配列の設定
  • ログアウト
• セキュリティー責任者の役割の機能
  • KMA のクラスタへの再ログイン
  • ユーザーのパスフレーズの設定
  • KMA の管理 IP アドレスの設定
  • KMA のサービス IP アドレスの設定
  • ゲートウェイの表示/追加/削除
  • DNS 設定の指定
  • KMA の出荷時のデフォルトへのリセット
  • 技術サポートアカウントの有効化
  • 技術サポートアカウントの無効化
  • プライマリ管理者の有効化
  • プライマリ管理者の無効化
  • キーボード配列の設定
  • ログアウト
• その他の役割の機能
  • キーボード配列の設定
  • ログアウト

12 コマンド行ユーティリティー

• OKM コマンド行ユーティリティー
  • Solaris/Windows の構文
  • パラメータの説明
    • サブコマンド
    • オプション
  • 例
  • 終了値
  • サンプル Perl スクリプト
• バックアップコマンド行ユーティリティー
  • Solaris の構文
  • Windows の構文
  • パラメータの説明
  • 例

A SNMP 管理情報ベース (MIB) データ

B OKM を Advanced Security の Transparent Data Encryption (TDE) とともに使用する

• Transparent Data Encryption (TDE) の概要
• OKM の PKCS#11 プロバイダ
• OKM での TDE の認証
  • 認証資格の管理
• 負荷分散とフェイルオーバー
• 計画に関する考慮事項
  • Oracle Database に関する考慮事項
  • OKM のパフォーマンスおよび可用性に関する考慮事項
  • 障害回復の計画
  • ネットワークの計画
  • 鍵管理の計画
    • 鍵ポリシーに関する考慮事項
    • 鍵グループを使用した鍵アクセス制御
    • 鍵およびデータ破棄に関する考慮事項
• OKM と TDE の統合
  • システム要件
    • Oracle Key Manager
    • pkcs11_kms
  • OKM のインストール
  • pkcs11_kms のインストール
    • Oracle Solaris 11 または Solaris 11 Express の場合の pkcs11_kms のインストール
    • Oracle Solaris 10 Update 10 の場合の pkcs11_kms のインストール
    • Oracle Enterprise Linux の場合の pkcs11_kms のインストール
  • pkcs11_kms のアンインストール
    • Oracle Solaris 11 の場合の pkcs11_kms のアンインストール
    • Oracle Solaris 10 Update 10 の場合の pkcs11_kms のアンインストール
    • Oracle Enterprise Linux の場合の pkcs11_kms のアンインストール
  • TDE 用の OKM の構成
    • Oracle Database の TDE の構成
    • TDE 用の OKM クラスタの構成
    • TDE 用の pkcs11_kms の構成
• 継続的な運用
  • Oracle Wallet からのマスター鍵の移行
    • 鍵の再作成操作
    • OKM ポリシーベースの鍵の期限切れによる鍵の再作成
  • 別の HSM ソリューションからの変換
  • 鍵の破棄
  • Oracle RMAN または Oracle Data Pump、あるいはその両方をサポートするための鍵転送
  • 管理
    • 確認、監査、およびモニタリング
    • OKM 内の TDE マスター鍵の検出
• トラブルシューティング
  • マスター鍵を取得できない
  • pkcs11_kms 構成ディレクトリの消失
  • No Slots Available エラー
  • CKA_GENERAL_ERROR エラー
  • Could Not Open PKCS#12 File エラー

C Solaris ZFS 暗号化による OKM の使用

• 計画に関する考慮事項
• OKM と ZFS の統合
  • ZFS 用の OKM クラスタの構成
  • Solaris 11 への pkcs11_kms のインストール
  • pkcs11_kms の構成
  • pkcs11_kms を使用するための ZFS の構成
  • トラブルシューティング

D サービスプロセッサ手順

• ELOM 手順
  • ELOM アップグレードの概要
  • 関連ドキュメント
  • ELOM の構成 - X2100 M2 または X2200 M2 サーバー
    • ELOM 構成プロセス
  • ELOM および BIOS レベルの確認
  • ELOM サーバーファームウェアのアップグレード
  • ELOM からの BIOS セットアップユーティリティーの起動
• ILOM 手順
  • ILOM アップグレードの概要
  • 関連ドキュメント
    • ILOM 3.0
    • ILOM 3.2
    • Netra SPARC T4-1
    • Sun Fire X4170 M2
  • ILOM の構成 - Netra SPARC T4-1 および X4170 M2 サーバー
    • ILOM 構成プロセス
  • ILOM および BIOS レベルの確認 - X4170 M2 のみ
  • ILOM 3.0 サーバーファームウェアのアップグレード
  • ILOM 3.2 サーバーファームウェアのアップグレード
  • ILOM からの BIOS セットアップユーティリティーの起動 - X4170 M2 のみ
  • ILOM のセキュリティーの強化
  • BIOS の構成 - X4170 M2 のみ
• KMA へのキーボードおよびモニターの接続

用語集

索引