1 HSMのスタート・ガイド

ハードウェア・セキュリティ・モジュール(HSM)をOracle Key Vaultと統合するには、HSMをインストールし、Key VaultをHSMクライアントとしてエンロールする必要があります。

• Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携
  このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。
• Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
  Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。
• HSMのクライアントとしてのOracle Key Vaultのエンロール
  Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。

1.1 Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携

このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。

HSMには、標準的なサーバー・メモリーよりアクセスされにくい改ざんに対する耐性の高い専用ハードウェアが含まれています。サイトでは、暗号化キーを管理するために、HSMを使用してOracleデータベースまたはMySQLデータベースに直接接続することが必要になる場合があります。データベースの数およびHSMに対する負荷が増えるにつれて、この負荷を処理できるのは企業規模のキー・マネージャのみであることが明らかになります。Transparent Data Encryption (TDE)が有効になっているデータベースとHSMの間で機能するようにOracle Key Vaultクラスタを構成すると、キー・マネージャでこのタイプの負荷を効率的に処理できるようになります。

Oracle Key Vaultは、オペレーティング・システム、データベースおよびキー管理アプリケーションを含むフルスタックのソフトウェア・アプライアンスで、組織のキーおよび資格証明の保存および管理を支援します。このガイドを使用して実行する構成では、HSMにOracle Key Vaultのルート・オブ・トラスト(RoT)も確立します。HSMをOracle Key Vaultとともにデプロイすると、ルート・オブ・トラスト(RoT)はHSMに残ります。HSM RoTはウォレット・パスワードを保護し、これによりTDEマスター・キーを保護し、すべての暗号化キー、証明書およびOracle Key Vaultサーバーで管理される他のセキュリティ・アーティファクトを保護します。このRoT使用シナリオにおけるHSMでは、顧客の暗号化キーが格納されないことに注意してください。顧客のキーは、Oracle Key Vaultサーバーによって直接格納および管理されます。

HSMをRoTとして使用することは、不正な環境で起動されたOracle Key Vaultサーバーからキーを回復する試みを減らすことを目的としています。施設からのOracle Key Vaultサーバーの物理的喪失が、このようなシナリオの一例です。権限のないユーザーが、紛失したり盗難にあったOracle Key VaultサーバーをHSMへのアクセスを認可されずに実行しようとすると、アプライアンスに格納されている暗号化キーをリカバリできなくなります。

Oracle Key Vaultでは、オペレーティング・システムの強化、データベースの暗号化、Database Vaultを使用したデータ・アクセスの実行などのセキュリティ・コントロールの階層を採用しています。これらのコントロールは、ユーザーが物理的にアクセス可能なシステムからキーや資格証明を抽出する潜在的なリスクを減らすように設計されています。管理者は、通常の日常的な業務のためにアプライアンスの内部コンポーネントにアクセスする必要はありません。Oracle Key Vaultは安全な場所にデプロイする必要があり、アプライアンスへの物理アクセスと論理アクセスを制御およびモニターする必要があります。

サイトでSafeNet、nCipher (Thales社)およびUtimacoのHSMを使用している場合は、スタンドアロン、プライマリ/スタンバイおよびマルチマスター環境のOracle Key Vaultを使用してこれらのHSM製品を構成できます。

このガイドでは、Oracle Key Vaultがインストールおよび構成されていることを前提としています。また、構成する予定のHSM製品について十分な知識があることも前提としています。

Oracle Key Vaultを使用してHSMを構成するために従う必要がある一般的なプロセスは次のとおりです。

1. HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールします。
2. Oracle Key VaultをHSMクライアントとしてエンロールします。
3. 次のように、さらに構成操作を実行します。
   • HSMを使用してTDEマスター暗号化キーの保護を構成します。
   • プライマリ/スタンバイOracle Key VaultインストールでHSMを有効にします。
   • マルチマスター・クラスタ環境でHSMを構成します。
   • HSMが有効になっているOracle Key Vaultインスタンスでバックアップおよびリストア操作を実行します。
   • 必要に応じて、ローカル・ウォレットへの逆移行操作を実行します。

1.2 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。

1. ベンダーのソフトウェアにPKCS#11ライブラリが含まれていることを確認します。
   詳細は、HSMベンダーから提供されるHSMドキュメントを参照してください。
2. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
   SafeNet、nCipher、ThalesまたはUtimacoorのHSM製品をインストールできます。

1.3 HSMのクライアントとしてのOracle Key Vaultのエンロール

Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。

1. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
2. HSMクライアント・ソフトウェアで、Oracle Key VaultからHSMに通信できることを確認します。