1 HSMのスタート・ガイド

リリース12.2バンドル・パッチ1は、Oracle Key VaultとHardware Security Module (HSM)との統合を導入しており、この統合では、Oracle Key Vaultのトップレベルの暗号化鍵を保存することによって、HSMが「ルート・オブ・トラスト」として機能します。

注意:

• HSMとの統合は、Oracle Key Vault 12.2 BP1以降に限定されます。最新の拡張が含まれている最新リリースをお薦めします。

• HSMを含む既存のOracle Key Vaultインストールがあり、HSMを含む新しいリリースのOracle Key Vaultにアップグレードする場合、Oracleサポートに連絡する必要があります。

• HSMと統合する理由
  
• Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
  
• HSMクライアントとしてのOracle Key Vaultのエンロール
  

1.1 HSMと統合する理由

Oracle Key Vaultは、オペレーティング・システム、データベースおよび鍵管理アプリケーションを含むフルスタックのソフトウェア・アプライアンスで、組織の鍵および資格証明の保存および管理を支援します。管理者はセキュアな場所にOracle Key Vaultをデプロイする必要があり、通常、日常的な業務のためにアプライアンスの内部コンポーネントにアクセスしないことが適切です。ただし、パッチ適用および非常事態のシナリオにおいては、管理者が物理的にマシンにアクセスしたり、SSH経由で内部オペレーティング・システムに直接接続することが必要になる場合があります。HSMをOracle Key Vaultとともにデプロイすると、ルート・オブ・トラスト(RoT)はHSMに残ります。HSM RoTはウォレット・パスワードを保護し、これによりTDEマスター・キーを保護し、すべての暗号化鍵、証明書およびOracle Key Vaultサーバーで管理される他のセキュリティ・アーティファクトを保護します。この3階層により、管理者が物理的にアクセス可能なシステムから鍵および資格証明を取得するリスクが大幅に軽減します。このRoT使用シナリオにおけるHSMでは、ユーザーの暗号化鍵が格納されないことに注意してください。ユーザーの鍵は、Oracle Key Vaultサーバーによって直接格納および管理されます。

Oracle Key VaultインストールでHSMを有効にしても、既存の機能が妨げられることはありません。高可用性、バックアップおよびリストアなどの既存のOracle Key Vault機能をHSMモードで引き続き使用できます。

HSMには、標準的なサーバー・メモリーよりアクセスされにくい改ざんに対する耐性の高い専用ハードウェアが含まれています。Oracle Key VaultはHSMを使用して、Oracle Key Vaultで使用される暗号化鍵を保護してユーザーの鍵および資格証明を保護する、ルート・オブ・トラスト(RoT)を生成して格納できます。Oracle Key VaultとHSMを一緒に使用すると、HSMに格納されているRoTが使用可能な場合は、鍵および資格証明を読み取ることができます。HSMはRoTの抽出が非常に困難になるように設計され、これにより、ユーザーの鍵および資格証明の漏えいのリスクが大幅に軽減されます。また、HSMは、特定のコンプライアンス要件を満たすために役立つFIPS 140-2レベル2またはレベル3モードで使用できます。

注意:

Oracle Key Vaultが機能できるのは、HSMに格納されているRoTが使用可能な場合のみです。

Oracle Key Vaultと現在統合されているHSMベンダーは、SafeNet Luna SA 7000およびnCipher nShield Connect 6000+です。

1.2 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

まずOracle Key Vaultをインストールしてから、Oracle Key VaultサーバーにHSMクライアント・ソフトウェアをインストールします。詳細は、HSMベンダーから提供されるHSMドキュメントを参照してください。

Oracle Key VaultサーバーにHSMをインストールする手順:

1. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
2. ベンダーのソフトウェアにPKCS#11ライブラリが含まれていることを確認します。

1.3 HSMクライアントとしてのOracle Key Vaultのエンロール

Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。HSMクライアントとしてOracle Key Vaultのエンロールを完了するには、固有のHSMドキュメントを参照する必要があります。

通常、次の作業が必要です。

1. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
2. HSMクライアント・ソフトウェアで、Oracle Key VaultからHSMに通信できることを確認します。