| Oracle® Key Vault管理者ガイド リリース12.2 BP11 E76998-09 |
|
 前 |
 次 |
この項では、次のOracle Key Vaultリリース12.2バンドル・パッチの新機能および拡張機能について説明します。
次に、バンドル・パッチ11 (Oracle Key Vaultリリース12.2.0.11.0とも呼ばれます)の新機能と拡張機能について説明します。
顧客に多数のエンドポイントがある場合、RESTful APIを使用しても、すべてのエンドポイントを1つずつ再エンロールするのに時間がかかります。この拡張機能により、Oracle Key Vaultは、すべてのエンドポイントを再エンロールする単一のRESTfulコマンドを提供します。新しいRESTfulコマンドは、re_enroll_allです。
親トピック: バンドル・パッチ11の新機能
次に、バンドル・パッチ7 (Oracle Key Vaultリリース12.2.0.7.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
このリリースから、Oracle Key Vaultサーバーとすべてのエンドポイントの証明書を1回の操作でローテーションできます。この機能は、スタンドアロンとプライマリ/スタンバイの両方の環境で使用できます。また、証明書をローテーションするタイミングになったときに警告するようにアラートを構成することもできます。この機能により、誤って証明書の失効を許すシナリオを防止できます。これが発生した場合、エンドポイントはOracle Key Vaultサーバーに接続できないため、エンドポイントの再エンロールが必要になります。
関連項目
親トピック: バンドル・パッチ10の新機能
顧客に多数のエンドポイントがある場合、RESTful APIを使用しても、すべてのエンドポイントを1つずつ再エンロールするのに時間がかかります。この拡張機能により、Oracle Key Vaultは、すべてのエンドポイントを再エンロールする単一のRESTfulコマンドを提供します。新しいRESTfulコマンドは、re_enroll_allです。
関連項目
親トピック: バンドル・パッチ10の新機能
ハードウェア・セキュリティ・モジュール(HSM)によって提供されるルート・オブ・トラストを備えたOracle Key Vaultリリース12.2.0.9以前では、Oracle Key Vaultは起動時に1回のみHSMにアクセスする必要がありました。
Oracle Key Vaultリリース12.2.0.10.0以降、HSMへの接続や、HSM内のルート・オブ・トラスト・キーの存在、さらにOracle Key Vault内のHSMクライアント・ソフトウェア・インストールの健全性チェックを検証する定期的なチェックが内部アラート・フレームワークに追加されました。これらのチェックのいずれかが失敗した場合、アラートが発生します。テスト間の時間は、5分の倍数に構成できます。
Oracle Key Vault 12.2.0.10.0では、通常のアラート・ジョブの一環として、サーバーは、HSMにアクセスしてルート・オブ・トラスト・キーを使用し、さらにサーバー上のHSM関連ファイルの健全性チェックを実行することで、HSM構成の検証を試みます。前述のチェックに失敗した場合、サーバーを保護するためのアクションを即座に実行できるように新しいアラートが生成されます。デフォルトでは5分ごとにHSMにアクセスしますが、チェックの時間間隔を構成するか、アラートを完全に無効にできます。
関連項目
親トピック: バンドル・パッチ10の新機能
バンドル・パッチ9 (Oracle Key Vaultリリース12.2.0.9.0とも呼ぶ)には、新機能および拡張機能は含まれていません。
親トピック: Oracle Key Vault 12.2の新機能
バンドル・パッチ8 (Oracle Key Vaultリリース12.2.0.8.0とも呼ぶ)には、新機能および拡張機能は含まれていません。
親トピック: Oracle Key Vault 12.2の新機能
次に、バンドル・パッチ7 (Oracle Key Vaultリリース12.2.0.7.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
システム管理者ロールを持つユーザーは、Oracle Key Vault管理コンソールで特定のエンドポイント構成パラメータを集中的に更新できます。この機能により、システム管理者は特定のエンドポイント構成パラメータをグローバルに設定できます(すべてのエンドポイントまたはエンドポイントごとに)。システム管理者の複数のエンドポイントを管理するプロセスを簡略化します。
エンドポイント固有のパラメータ(設定されている場合)は、グローバル・パラメータより優先されます。グローバル・パラメータ(設定されている場合)は、エンドポイント固有のパラメータがクリアされると有効になります。OKVでは、グローバルおよびエンドポイント固有のパラメータが両方ともクリアされるか、OKV管理コンソールから設定されていない場合に、デフォルトのシステム・パラメータが使用されます。
OKV管理コンソールで設定された構成パラメータ値は、動的にエンドポイントにプッシュされます。構成パラメータがOKV管理コンソールで設定されると、次にエンドポイントがOKVサーバーにアクセスする際に構成パラメータが更新されます。エンドポイント構成パラメータの更新はベスト・エフォートです。エラーの場合、更新は適用されません。okvutilライブラリおよびPKCS11ライブラリはいずれも、エンドポイント構成の更新を取得および適用できます。
詳細は、 「グローバル・エンドポイント構成パラメータの構成」および「エンドポイント構成パラメータの構成」を参照してください。
親トピック: バンドル・パッチ7の新機能
Oracle Key Vault 12.2.0.7.0では、レガシーBIOSおよびUEFI BIOSのブート・モードの両方がサポートされます。UEFI BIOSモードのサポートにより、Oracle X7-2サーバーなど、UEFI BIOSのみをサポートするサーバーでOracle Key Vaultのインストールが可能になります。OKVは、スタンドアロン・サーバーまたは高可用性(HA)構成としてOracle X7–2サーバーにインストールできます。詳細は、 『Oracle Key Vault管理者ガイド』を参照してください。
親トピック: バンドル・パッチ7の新機能
IBM AIX 5.3は、Oracle Database 11gリリース2でサポートされているオペレーティング・システムの1つです。Oracle Key Vault 12.2.0.7.0では、制限された容量で新しいエンドポイント・プラットフォームとしてAIX 5.3が追加されました。これは、OKV 12.2以降すでにサポートされているAIXプラットフォーム6.2および7.1に加えられます。お客様は、エンドポイント・プラットフォームとして、AIX 5.3でエンドポイントを登録できます。エンドポイント・エンロールおよびプロビジョニング・プロセス中に、OKVサーバーからAIX 5.3プラットフォーム用のエンドポイント・ソフトウェアをダウンロードできます。ただし、エンドポイント・ソフトウェアをデプロイする前に、お客様はOKVサーバーでTLS 1.0を有効にする必要があります。詳細は、『Oracle Key Vault管理者ガイド』を参照してください。
親トピック: バンドル・パッチ7の新機能
次に、バンドル・パッチ6 (Oracle Key Vaultリリース12.2.0.6.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
Oracle Key Vault 12.2.0.5.0以前では、クライアントはHAデプロイメントで2つのOracle Key Vaultサーバーをそれぞれチェックして、Oracle Key Vaultへの接続を試行します。Oracle Key Vaultサーバーを使用できない場合、クライアントでは現在、OS定義の遅延が発生しますが、これはOSによっては20秒以上になる場合があります。
HAデプロイメントでは、エンドポイントは最初にプライマリへの接続を試行し、次に、エンドポイント構成ファイルで指定されたスタンバイへの接続を試行します。スイッチオーバーやフェイルオーバーによってエンドポイント上の構成ファイルは更新されません。そのため、エンドポイントは、スイッチオーバーの前にプライマリとして構成されたサーバーとの接続を試行して、設定を続行します。このエンドポイントは、OS定義の遅延が発生した後、スタンバイとして構成されたサーバーに接続し、成功します。エンドポイントでは、Oracle Key Vaultからレスポンスを取得する前に、このような数秒のOS定義の遅延が発生します。スイッチオーバーまたはフェイルオーバーが行われたOracle Key Vaultへの接続を設定しようとするすべての新規プロセスでこの遅延が発生します。これにより、次々に多くのプロセスがOracle Key Vaultへの接続を試行するデータベース起動のようなデータベース操作が非常に遅くなります。
Oracle Key Vault 12.2.0.6.0では、クライアントは最初にアクセス不可能なサーバーを迅速に検出するように、Oracle Key Vaultへの非ブロッキングのTCP接続を確立します。Oracle Key Vault 12.2.0.6.0では、okvclient.oraファイルにSERVER_POLL_TIMEOUTパラメータが導入され、このタイムアウト後に、Oracle Key Vaultは次のサーバーへの接続を試行します。デフォルト値は300 (ミリ秒)です。
最初の試行後、クライアントは、サーバーへの第2および最終試行を実行しますが、今度はSERVER_POLL_TIMEOUTパラメータで指定された期間の2倍まで待機します。これは、考えられるネットワークの輻輳や遅延を克服するするために行われます。
SERVER_POLL_TIMEOUTパラメータの詳細は、「エンドポイントokvclient.ora構成ファイル」を参照してください。
親トピック: バンドル・パッチ6の新機能
Oracle Key Vault 12.2.0.5.0以前では、Oracle Key Vaultサーバーを使用できない場合は、PKCS#11ライブラリ(設定されている場合)が、永続マスター・キー・キャッシュからマスター・キーを取得します。ただし、万が一、Key Vaultサーバーが引き続き使用できず、PKCS11_PERSISTENT_CACHE_TIMEOUTで指定された永続マスター・キー・キャッシュ時間制限の期限が切れている場合は、PKCS#11ライブラリでマスター・キーのリフレッシュ試行が失敗し、エンドポイント・データベース操作が影響を受けます。
永続マスター・キー・キャッシュのリフレッシュ期間機能を使用すると、データベース・エンドポイントはOKVサーバーから期限が切れたマスター・キーのリフレッシュを複数回試行できます。この意味で、エンドポイントは、マスター・キーのリフレッシュを完了するためにOKVサーバーがオンラインに戻るのを待機します。一方、マスター・キー・リフレッシュの試行に失敗した場合、キーはリフレッシュ期間の継続中に、永続キャッシュから取得されます。
永続マスター・キー・キャッシュのリフレッシュ期間機能は、このように、マスター・キーが永続マスター・キー・キャッシュにキャッシュされた後に使用できる期間を延長します。同時に、エンドポイントはキャッシュ時間の最後に一度ではなく、リフレッシュ期間中にキーをリフレッシュできます。これは、HAスイッチオーバーの進行中など、Oracle Key Vaultを使用できないときに永続キャッシュ期間の期限が切れる可能性に対応しています。リフレッシュ期間が終了し、キーがリフレッシュされるとすぐにキャッシュ期間が開始します。
okvclient.oraファイルのパラメータPKCS11_PERSISTENT_CACHE_REFRESH_WINDOWは、永続マスター・キー・キャッシュにキャッシュされた後にマスター・キーを使用できる期間を延長するために使用します。この値は、Oracle Key Vaultサーバーがリカバリしてオンラインに戻るのにかかる時間を反映しています。値は分単位で指定します。PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWのデフォルト値は30 (分)です。
永続キャッシュのリフレッシュ期間の詳細は、「永続マスター・キー・キャッシュ - リフレッシュ期間」を参照してください。
親トピック: バンドル・パッチ6の新機能
生成したキーをインポートして、Oracle Key VaultでTransparent Data Encryption (TDE)マスター暗号化キーとして使用できるようになりました。
キー管理者はこのユーザー定義のキーを、書込みアクセス権があるグループにアップロードできます。この機能によって、鍵管理者は、TDEデータ暗号化鍵の暗号化に使用するマスター・キーの作成に対する管理を強化できます。
okvutil uploadコマンドのtypeパラメータには、Oracle Key Vaultにユーザー定義のキーをアップロードできるようにするための新しいオプションTDE_KEY_BYTESが用意されています。次に、このキーはデータベースでADMINISTER KEY MANAGEMENTコマンドを実行して、TDEマスター暗号化キーとして登録されます。TDEマスター暗号化キーをアクティブ化する方法の詳細は、「TDEマスター暗号化キーのアクティブ化」を参照してください。
Oracle Key VaultでTransparent Data Encryption (TDE)マスター・キーとして使用するユーザー定義の鍵をインポートする方法の詳細は、「TDEマスター暗号化鍵としてのユーザー定義の鍵の使用」を参照してください。
親トピック: バンドル・パッチ6の新機能
Oracle Key Vault 12.2.0.5.0以前の高可用性デプロイメントでは、スタンバイ・サーバーでOracle Key Vault管理コンソールを使用できないため、スタンバイ・サーバー上のSNMP設定を更新できません。
Oracle Key Vault 12.2.0.6.0では、stdby_snmp_enableスクリプトが導入され、rootユーザーがスタンバイ・サーバー上のSNMP設定を変更できるようになりました。
stdby_snmp_enableスクリプトの使用方法の詳細は、スタンバイ・サーバー上のSNMP設定の変更を参照してください。
親トピック: バンドル・パッチ6の新機能
Oracle Key Vaultでは、Oracle Key Vaultの機能に影響を与える可能性のある特定の条件について管理者に通知するアラートが生成されます。
FSFO (ファスト・スタート・フェイルオーバー)が障害のために使用できない場合、高可用性の構成プロセスは失敗します。この問題は、Oracle Key Vault管理コンソールに表示されません。
HA FSFO is not synchronized. FSFO status is <HA status>
アラートの構成方法の詳細は、「Oracle Key Vaultアラートの構成」を参照してください。
親トピック: 高可用性操作に関する新しいアラート
Oracle Key Vaultのプライマリ・サーバーがActive Data Guardまたはその他の不明な障害のために高可用性モードで動作できない場合、この問題はOracle Key Vault管理コンソールに表示されません。
Dataguard Broker is disabled
アラートの構成方法の詳細は、「Oracle Key Vaultアラートの構成」を参照してください。
親トピック: 高可用性操作に関する新しいアラート
Oracle Key Vault 12.2.0.5.0以前では、okvclient.oraへのシンボリック・リンク参照は、再エンロール時に更新されません。
Oracle Key Vault 12.2.0.6.0では、新しいokvclient.jarオプション-oを使用すると、シンボリック・リンク参照を上書きして、新規ディレクトリのokvclient.oraを指すことができます。
親トピック: バンドル・パッチ6の新機能
Oracle Key Vault 12.2.0.6.0では、Windows Server 2008およびWindows Server 2012でOracle Database 12.2.0.1.0がサポートされます。
以前のバージョンのOracle Key Vaultと同様に、Windowsサーバー2008およびWindowsサーバー2012でOracle Database 11.2.0.4および12.1.0.2もサポートされます。
親トピック: バンドル・パッチ6の新機能
次に、バンドル・パッチ5 (Oracle Key Vaultリリース12.2.0.5.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
Oracle Key Vaultでは、高可用性デプロイメントで読取り専用制限モードをサポートしています。読取り専用制限モードにより、プライマリ・サーバーまたはスタンバイ・サーバーでサーバー間の通信が中断される障害が発生した場合に、操作の継続性が保証されます。読取り専用制限モードにより、プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合、キーにアクセスすることができます。
読取り専用制限モードを有効にすると、ピア・サーバーで障害が発生した場合、プライマリ・サーバーまたはスタンバイ・サーバーでのキーの取得などの操作は影響されません。クリティカル・データを作成または変更する操作は無効になります。
旧リリースでは、プライマリ・サーバーまたはスタンバイ・サーバーで障害が発生した場合、データ損失のリスクを防ぐために、操作は無効化されていました。読取り専用制限モードを無効にして、以前の操作モードを引き続き適用することができます。
詳細は、「高可用性読取り専用制限モード」を参照してください。
親トピック: バンドル・パッチ5の新機能
「Name」、「Deactivation Date」、「Protect Stop Date」などの追加の属性が「All Items」ページに追加されました。この機能により、非アクティブ化された、またはもうすぐ非アクティブ化されるキーを検索することができます。okvutilを使用してアップロードされたキーには、複数の識別子があります。この機能により、こうしたキーのルックアップが向上します。
親トピック: バンドル・パッチ5の新機能
Oracle Key Vaultは、リモートのSyslogへの監査レコードの送信をサポートしています。システム管理者によってリモートのSyslogが構成されている場合、Oracle Key Vault監査マネージャはこのオプションを有効にできます。
監査レコードを格納するようにSyslogを構成する方法の詳細は、「監査レコードを格納するようにSyslogを構成」を参照してください。
親トピック: バンドル・パッチ5の新機能
永続キャッシュには、永続マスター・キー・キャッシュ優先という新しい操作モードがあります。データベースでキーが必要になると、Oracle Key Vaultからキーを取得する前に、永続キャッシュでルックアップが実行されます。PKCS#11ライブラリは永続マスター・キー・キャッシュで鍵が見つからない場合にのみOracle Key Vaultに接続するため、パフォーマンスが向上します。これが、デフォルトの永続キャッシュ・モードです。
新しいタイプokv_persistent_cacheがokvutilリスト・コマンドに追加されます。ユーザーはOkv_persistent_cacheを使用して永続キャッシュを表示し、キーが利用可能か期限切れかを確認できます。
永続マスター・キー・キャッシュの詳細は、「永続マスター・キー・キャッシュの動作モード」を参照してください。
親トピック: バンドル・パッチ5の新機能
Oracle Key Vault 12.2.0.5.0では、新規インストール時にOracle Linux 6.9の機能削除版をインストールします。
親トピック: バンドル・パッチ5の新機能
Oracle Key Vaultは現在、(2つのISOファイルから作成された)2つのディスクを使用してインストールされます。新規インストールの場合、Software Delivery CloudからOracle Key Vaultをダウンロードできます。このパッケージは、アップグレードには使用できません。
詳細は、「Oracle Key Vaultのインストールと構成」を参照してください。
注意:
アップグレード・パッケージは1つのISOファイルを使用してインストールされます。アップグレードの場合は、Oracle Automated Release Updates (ARU) WebサイトからOracle Key Vaultをダウンロードできます。親トピック: バンドル・パッチ5の新機能
リリース12.2 BP 4の新機能は、Oracle Database 11.2.0.4 (BP 9以降)とWindows Server 2008および2012上の12.1.0.2のサポートです。
親トピック: Oracle Key Vault 12.2の新機能
Oracle Key Vaultでは、Windows Server 2008およびWindows Server 2012でOracle Database 11.2.0.4 (BP 9以降)および12.1.0.2がサポートされます。
親トピック: バンドル・パッチ4の新機能
次に、バンドル・パッチ3 (Oracle Key Vaultリリース12.2.0.3.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
永続マスター・キー・キャッシュ機能を使用すると、なんらかの理由でKey Vaultサーバーを使用できない場合にデータベースを稼働させることができます。TDEマスター・キーは、メモリー内キャッシュに加えて永続キャッシュにキャッシュされるため、データベース・プロセス間で機能します。これにより、データベースが新しいプロセスごとに、またはREDOログの切替えやデータベースの起動のたびに、Key Vaultサーバーと通信する必要がなくなります。また、Oracle Key Vault PKCS#11ライブラリに実装されているため、以前のデータベース・リリースに対してデータベース・パッチを適用する必要もありません。
関連項目:
親トピック: バンドル・パッチ3の新機能
このリリースでは、Hardware Security Module nCipher nShield Connectとの統合がサポートされます。
関連項目:
ベンダー固有の注意事項 — nCipher
親トピック: バンドル・パッチ3の新機能
Oracle Key Vaultでは、今後のセキュリティと適合性を高める、強力な暗号化アルゴリズムとキー長のリストであるCommercial National Security Algorithm Suite (CNSA)がサポートされます。
関連項目:
CNSA Suiteのサポート
親トピック: バンドル・パッチ3の新機能
電子メール通知およびアラートのために、GoogleおよびOffice365のSMTPビジネス・サービスがサポートされます。この機能は、GoogleやOffice365などの外部電子メール・サービスに依存しているユーザーにとって有益です。
関連項目:
親トピック: バンドル・パッチ3の新機能
リリース12.2 BP 3には、Oracle Key Vaultで仮想ウォレットを管理しやすくするために、2つの新しい仮想ウォレット・コマンドが用意されています。エンドポイント管理者は、デフォルト・ウォレットに加え、エンドポイントに関連付けられたすべての仮想ウォレットを取得できます。このため、仮想ウォレットに格納されたキーと資格証明を管理しやすくなります。
親トピック: バンドル・パッチ3の新機能
次に、バンドル・パッチ2 (Oracle Key Vaultリリース12.2.0.2.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
12.2リリースはOracle Linuxリリース6アップデート6オペレーティング・システムおよびOracle Database 12.1.0.2に基づき、これらは最新のハードウェアと互換性があります。
関連項目:
親トピック: バンドル・パッチ2の新機能
Oracle Key Vaultは、すべてのエンドポイントおよびユーザー・アクティビティを監査し、エンドポイント、ユーザー、セキュリティ・オブジェクトおよびシステムに関して収集したデータを事前構成済レポートの形式で出力します。これらのレポートにより、管理者が計画を目的として使用できる、システム・アクティビティの包括的で詳細な表示が可能となります。
セキュリティ技術導入ガイド(STIG)は米国国防総省(DOD)が採用している方法で、コンピュータ・システムおよびネットワークの攻撃面を縮小するため、DODネットワーク内に格納されている機密性の高い情報を確実にロックダウンします。
関連項目:
親トピック: バンドル・パッチ2の新機能
Key Vault管理者は、独自の証明書を使用するか、サード・パーティの認証局(CA)によって署名された証明書をアップロードして、Key Vaultのブラウザ・ベースのグラフィカル・ユーザー・インタフェースおよび管理操作を行うユーザーによって使用される自己署名証明書を置き換えることができます。
関連項目:
親トピック: バンドル・パッチ2の新機能
この機能を使用すると、Key Vaultシステム管理者は次のようなことを行うことができます。
バンド外の方式を使用するかわりに、エンドポイント・エンロール・トークンをエンドポイント管理者に直接送信できます。
セキュリティ侵害があった場合にユーザーのパスワードをリセットできます。
セキュリティ上の脅威やリスクに迅速に対応するために、システムやステータスの変更に関する通知を受け取ることができます。
関連項目:
親トピック: バンドル・パッチ2の新機能
SNMPを有効にすると、システム管理者は、メモリー、CPU使用率、プロセス、ネットワーク帯域幅およびキー管理サーバー(KMIPデーモン)などのリソース使用率に関してKey Vaultアプライアンスをリモートでモニタリングできます。収集された情報を使用して、システム・パフォーマンスをモニタリングしたり、障害から迅速にリカバリすることができます。Oracle Key Vaultでは、ユーザー認証およびデータ暗号化機能にSNMPバージョン3が使用されます。
関連項目:
親トピック: バンドル・パッチ2の新機能
RESTfulサービス・ユーティリティはスクリプティング・ツールで、これを使用すると、エンドポイント・エンロールを大規模に自動化できます。自動化により、エンドポイントのエンロールおよびプロビジョニングの複数のステップが、コマンドラインで実行できる1つのコマンドまたはスクリプトまで削減されます。このことは、人による操作を最小限にして何百ものエンドポイントを同時にエンロールおよびプロビジョニングする必要がある管理者に役立ちます。
親トピック: バンドル・パッチ2の新機能
Key Vaultでは監査レコードをAudit Vault and Database Firewall (AVDF)に送信できるため、企業の管理者はAVDF管理コンソールからKey Vault監査データを確認できます。この機能を有効にすると、監査データはKey Vaultに存在しなくなるため、Key Vaultの記憶域を解放できます。
親トピック: バンドル・パッチ2の新機能
次のものに対して診断が収集されることがあります。
Oracle Key Vaultサーバーに対して。詳細な分析のために、Oracle Supportに提供します。
エンドポイント・ソフトウェアの診断機能によって、エンドポイントに対して。
親トピック: バンドル・パッチ2の新機能
次に、バンドル・パッチ1 (Oracle Key Vaultリリース12.2.0.1.0とも呼ばれます)の新機能と拡張機能について説明します。
親トピック: Oracle Key Vault 12.2の新機能
Oracle Key Vaultオンプレミス・アプライアンスでは、Oracle Cloud Database as a ServiceインスタンスのTransparent Data Encryption (TDE)マスター・キーを管理できます。
親トピック: バンドル・パッチ1の新機能
Oracle Key VaultはHSMを使用して最高レベルの暗号化キーを生成して格納できるため、Key Vaultで使用される暗号化キーを保護するルート・オブ・トラスト(RoT)として機能します。HSMは、標準的なサーバーよりアクセスが困難な、改ざんされにくい専用ハードウェアを使用して構築されています。これにより、RoTが保護され、抽出も困難になるため、侵害のリスクが軽減されます。また、HSMは、特定のコンプライアンス要件を満たすために役立つFIPS 140-2レベル3モードで使用できます。
既存のOracle Key Vaultのデプロイメントを移行しても、HSMをルート・オブ・トラストとして使用できないことに注意してください。Oracle Key VaultとHSMを一緒に使用するには、新しいOracle Key Vaultのデプロイメントが必要です。
関連項目:
Oracle Key Vault HSM統合構成ガイド
親トピック: バンドル・パッチ1の新機能
