次のテープドライブでは、暗号化をサポートしています。
StorageTek T10000A
StorageTek T10000B
StorageTek T10000C
StorageTek T10000D
StorageTek T9840D
HP LTO-4 (HP Dione カードが必要)
HP LTO-5 および 6
IBM LTO-4、5、および 6 (すべて IBM Belisarius カードが必要)
| テープドライブ |
FIPS 140-2 のレベル |
|---|---|
|
T10000A |
1 |
|
T10000B |
2 |
|
T10000C |
1 |
|
T10000D |
1 |
|
T9840D |
1 |
|
LTO4 (HP および IBM) |
FIPS への対応なし |
|
LTO5 (HP および IBM) |
FIPS への対応なし |
|
LTO6 (HP および IBM) |
FIPS への対応なし |
注:
LTO ドライブ単独では FIPS 検証が行われる可能性がありますが、特定の暗号化アプリケーションで必ずしも行われるとは限りません。上記テープドライブの FIPS 140-2 レベルのセキュリティーには、次のものが含まれます。
レベル 1 – 生産グレードでの要件を備えた基本レベルです。
レベル 2 – 物理的な改ざんの証拠や役割ベースの認証のための要件が追加されます。検証済みのオペレーティングプラットフォームに構築されます。これを選択すると、KMA とテープドライブのセキュリティーレベルが上がります。
注:
LTO-4 メディア (LTO-4 および LTO-4 WORM) のみが LTO-4 テープドライブでの暗号化に対応しています。| ドライブの動作 |
機能 |
|---|---|
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-4 暗号化データの読み取り |
エラー |
|
BOT からの LTO-4 の書き込み |
非暗号化を許可 |
|
LTO-3 テープの読み取り |
非暗号化を許可 |
|
LTO-4 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-4 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
非暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
エラー |
表5-4 暗号化登録済みの LTO-4 ドライブの暗号化動作
| ドライブの動作 |
機能 |
|---|---|
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-4 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
BOT からの LTO-4 の書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-3 テープの書き込み |
HP: 非暗号化を許可脚注 1 IBM: エラー |
|
LTO-3 テープの読み取り |
非暗号化を許可 |
|
LTO-4 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注 2 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-4 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 2 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-4 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可 IBM: 適切な鍵を使用できるが、以前の読み取り鍵を使用する場合、暗号化を許可脚注 3 |
脚注 1 HP のドライブは非暗号化モードでテープを書き込みます。LTO-3 形式では暗号化はサポートされておらず、LTO-3 カートリッジを挿入するだけで HP LTO-4 および LTO-5 ドライブは非暗号化データを書き込めるようになるため、セキュリティー違反とみなされることがあります。
脚注 2 このシナリオでは非暗号化データのあとに暗号化データを追加できる上に、非暗号化データのラベルがあらかじめ付いているテープをラベルを張り替えなくても暗号化環境の HP LTO ドライブで使用できるため、操作上のメリットもあります。
脚注 3 このシナリオでは、IBM のドライブは暗号化データを書き込みますが、テープ上の前の暗号化データの読み取りに使用したのと同じ鍵を使用します。書き込みコマンドが発行されてもドライブは OKM に新しい鍵を要求しません。これにより、OKM によって設定された鍵の有効期限ポリシーは無視されます。
| ドライブの動作 |
機能 |
|---|---|
|
LTO-5 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-5 暗号化データの読み取り |
エラー |
|
BOT からの LTO-5 の書き込み |
非暗号化を許可 |
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-4 暗号化データの読み取り |
エラー |
|
BOT からの LTO-4 の書き込み |
非暗号化を許可 |
|
LTO-3 の読み取り |
非暗号化を許可 |
|
LTO-5 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-5 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
非暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
エラー |
|
LTO-4 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-4 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
非暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
エラー |
表5-6 暗号化登録済みの LTO-5 ドライブの暗号化動作
| ドライブの動作 |
機能 |
|---|---|
|
LTO-5 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-5 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
BOT からの LTO-5 の書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-4 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
BOT からの LTO-4 の書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-5 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-5 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可 IBM: 適切な鍵を使用できるが、以前の読み取り鍵を使用する場合、暗号化を許可脚注 2 |
|
LTO-4 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-4 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-4 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可 IBM: 適切な鍵を使用できるが、以前の読み取り鍵を使用する場合、暗号化を許可脚注参照 2 |
|
LTO-3 の非暗号化データの読み取り |
非暗号化を許可 |
脚注 1 このシナリオでは非暗号化データのあとに暗号化データを追加できる上に、非暗号化データのラベルがあらかじめ付いているテープをラベルを張り替えなくても暗号化環境の HP LTO ドライブで使用できるため、操作上のメリットもあります。
脚注 2 このシナリオでは、IBM のドライブは暗号化データを書き込みますが、テープ上の前の暗号化データの読み取りに使用したのと同じ鍵を使用します。書き込みコマンドが発行されてもドライブは OKM に新しい鍵を要求しません。これにより、OKM によって設定された鍵の有効期限ポリシーは無視されます。
| ドライブの動作 |
機能 |
|---|---|
|
LTO-6 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-6 暗号化データの読み取り |
エラー |
|
BOT からの LTO-6 の書き込み |
非暗号化を許可 |
|
LTO-5 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-5 暗号化データの読み取り |
エラー |
|
BOT からの LTO-5 の書き込み |
非暗号化を許可 |
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-6 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-6 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
非暗号化を許可 |
|
LTO-6 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-6 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
エラー |
|
LTO-5 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-5 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
非暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
非暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
エラー |
表5-8 暗号化登録済みの LTO-6 ドライブの暗号化動作
| ドライブの動作 |
機能 |
|---|---|
|
LTO-6 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-6 暗号化データの読み取り |
エラー |
|
BOT からの LTO-6 の書き込み |
非暗号化を許可 |
|
LTO-6 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-6 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
BOT からの LTO-6 の書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-6 の暗号化データへの追記書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-5 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
BOT からの LTO-5 の書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-4 の非暗号化データの読み取り |
非暗号化を許可 |
|
LTO-4 暗号化データの読み取り |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-6 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-6 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-6 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-6 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可 IBM: 適切な鍵を使用できるが、以前の読み取り鍵を使用する場合、暗号化を許可脚注 2 |
|
LTO-5 の非暗号化データへの追記書き込み (空白の EOD と書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-5 の非暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可脚注参照 1 IBM: エラー。1 つのテープ上に暗号化データと非暗号化データを混在させることはできません。 |
|
LTO-5 の暗号化データへの追記書き込み (空白の EOD と書き込み) |
適切な鍵を使用できる場合、暗号化を許可 |
|
LTO-5 の暗号化データへの追記書き込み (EOD までの読み取りと書き込み) |
HP: 適切な鍵を使用できる場合、暗号化を許可 IBM: 適切な鍵を使用できるが、以前の読み取り鍵を使用する場合、暗号化を許可脚注参照 2 |
脚注 1 このシナリオでは非暗号化データのあとに暗号化データを追加できる上に、非暗号化データのラベルがあらかじめ付いているテープをラベルを張り替えなくても暗号化環境の HP LTO ドライブで使用できるため、操作上のメリットもあります。
脚注 2 このシナリオでは、IBM のドライブは暗号化データを書き込みますが、テープ上の前の暗号化データの読み取りに使用したのと同じ鍵を使用します。書き込みコマンドが発行されてもドライブは OKM に新しい鍵を要求しません。これにより、OKM によって設定された鍵の有効期限ポリシーは無視されます。
テープドライブの暗号化の登録は、Oracle サポート担当者および OKM 管理ガイドの支援により行います。登録の前に、特定のドライバは準備が必要です。詳細について、Oracle サポート担当者は、OKM のインストールおよびサービスマニュアル (社内用) を参照できます。
ファームウェアバージョン 1.57.30x (T10000C) または 4.06.106 (T10000D) 以降を実行している T10000C および T10000D ドライブは、暗号化有効鍵を必要としません。以前のドライブおよびファームウェアのバージョンでは、Oracle サポート担当者は各ドライブに対して暗号化ライセンスキーを要求する必要があります。
LTO テープドライブの場合は、有効化の要件またはドライブデータは必要ありません。唯一の準備は、OKM マネージャーでテープドライブの IP アドレスとエージェント名を割り当てるための情報を持っていることを確認することです。
表5-9 に、各テープドライブの最小ファームウェア要件を一覧表示します。
次のライブラリ管理製品がサポートされています。
ACSLS – 7.1 および 7.1.1 (PUT0701)、または 7.2 および 7.3
HSC – 6.1 および 6.2
VSM – 6.1 または 6.2 (VTCS および VTSS を含む)
VTL モデル – 1.0 または 2.0。
一覧表示されたファームウェアレベルは変更される場合があります。最新のファームウェアにアクセスするには:
http://support.oracle.com の My Oracle Support に移動し、サインインします。
「パッチと更新版」タブをクリックします。
「製品またはファミリ (拡張)」をクリックします。
「入力開始...」フィールドに製品情報 (「Oracle Key Manager」など) を入力し、「検索」をクリックして、各リリースの最新のファームウェアを確認します。
| テープドライブ |
SL8500 | SL3000 | Lxxx | 9310/9311 | SL500 | SL150 |
|---|---|---|---|---|---|---|
|
T10000A FC |
L–3.11c D–1.37.113 |
L–FRS_2.00 D–1.37.113 |
L–3.17.03 D–1.37.113 |
L–4.4.08 D–137113 |
NA |
NA |
|
T10000A FICON |
L–3.11c D–1.37.114 |
L–FRS_2.00 D–1.37.114 |
L–3.17.03 D–1.37.114 |
L–4.4.08 D–137114 |
NA |
NA |
|
T10000B FC |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x07 |
L–3.17.03 D–1.38.x07 |
NA |
NA |
NA |
|
T10000B FICON |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x09 |
L–3.17.03 D–1.38.x09 |
NA |
NA |
NA |
|
T10000C FC |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
NA |
NA |
NA |
NA |
|
T10000C FICON |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
NA |
NA |
NA |
NA |
|
T10000D FC |
L–FRS_8.0.5 (3590 ドライブサポートなし) D–4.06.107 FC/FCoE |
L–FRS_3.62 (3590 ドライブサポートなし) D–4.06.107 FC/FCoE |
NA |
NA |
NA |
NA |
|
T10000D FICON |
L–FRS_8.0.5 (3590 ドライブサポートなし) D–4.07.xxx |
L–FRS_3.62 (3590 ドライブサポートなし) D–4.07.xxx |
NA |
NA |
NA |
NA |
|
T10000D FCoE |
L_FRS_8.3.0 D–4.06.106 |
L_FRS_4.xx D_4.06.106 |
NA |
NA |
NA |
NA |
|
T9840D FC |
L–3.98 D–1.42.x07 |
L–FRS_2.00 D–1.42.x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
NA |
NA |
|
T9840D FICON および ESCON |
L–3.98 D–142x07 |
L–FRS_2.00 D–142x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
NA |
NA |
|
HP LTO-4 |
L–3.98B D–H64S FC SCSI では NA |
L–2.05 D–H64S FC SCSI では NA |
NA |
NA |
L–1300 D–H64S FC D–B63S SCSI |
NA |
|
HP LTO-5 |
D–I5BS FC SAS では NA |
D–I5BS FC SAS では NA |
NA |
NA |
D–I5BS FC D–X5AS SAS |
L–1.80 D–Y5BS FC |
|
HP LTO-6 |
D– J2AS FC SAS では NA |
D– J2AS FC SAS では NA |
NA |
NA |
D– J2AS FC SAS では NA |
L–1.80 D–Z55S SAS D–22CS FC D–329S SAS |
|
IBM LTO-4 |
L–FRS_4.70 D–BBH4 FC SCSI では NA |
L–FRS_2.30 D–BBH4 FC SCSI では NA |
NA |
NA |
L–1373 D– BBH4 FC D– BBH4 SCSI |
NA |
|
IBM LTO-5 |
D–BBNH FC |
D–BBNH FC |
NA |
NA |
L–1373 D–BBNH FC |
NA |
|
IBM LTO-6 |
L–8.01 D–CT94 FC |
L–4.0 D–CT94 FC |
NA |
NA |
L–1483 D–BBNH FC FC では NA |
NA |
凡例:
L – ライブラリファームウェアレベル
D – ドライブファームウェアレベル
FC – ファイバチャネル
FCoE – ファイバチャネルオーバーイーサネット
SPS – 特殊ファームウェア、許可が必要
NA – 該当なし。サポート対象外。
表5-10 に、各ドライブタイプ用の Oracle Virtual Operator Panel (VOP) の最小バージョンを一覧表示します。
注:
MD-VOP (Multi-Drive Virtual Operator Panel) を使用する場合、バージョン 1.1 (最小) が必要です。