1 HSMのスタート・ガイド
ハードウェア・セキュリティ・モジュール(HSM)をOracle Key Vaultに統合するには、Oracle Key VaultにHSMクライアント・ソフトウェアをインストールして、HSMクライアントとしてエンロールする必要があります。
- Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携
このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。 - Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。 - HSMのクライアントとしてのOracle Key Vaultのエンロール
Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。
1.1 Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携
このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。
ハードウェア・セキュリティ・モジュール(HSM)には、HSM内に格納されているセキュリティ・オブジェクトを保護するために設計された、改ざん耐性を持つ専用ハードウェアが含まれています。HSMは、デジタル・キーを保護および管理し、クライアントに暗号化処理を提供する物理的なコンピューティング・デバイスです。HSMは、通常、セキュリティ・オブジェクトがHSMの暗号化境界から離れることを許可しません。
Oracle Key Vaultは、セキュリティ・オブジェクトを安全に格納、管理および共有するためのキー管理プラットフォームです。HSMとは異なり、Oracle Key Vaultでは、信頼できるクライアントが復号化キーなどのセキュリティ・オブジェクトを取得できます。Oracle Key Vaultは、オペレーティング・システム、データベースおよびキー管理アプリケーションを含むフルスタック・ソフトウェア・アプライアンスです。Oracle Key Vaultは、組織がキーと資格情報を格納および管理できるように設計されています。
組織によっては、暗号化キーを保護するためにHSMの使用が必要になる場合があります。それらはHSMの暗号化境界から離れることができないように設計されているため、ほとんどの場合、データベースをHSMに直接接続することは実用的ではありません。かわりに、データベースがOracle Key Vaultに接続し、HSMで保護されます。この構成により、HSMにOracle Key Vaultのルート・オブ・トラスト(RoT)が確立されます。HSMがOracle Key Vaultとともにデプロイされると、RoTはHSMに残ります。HSM RoTでは、透過的データ暗号化(TDE)ウォレット・パスワードを保護します。このようにしてTDEマスター・キーを保護することで、すべての暗号化鍵や証明書などのOracle Key Vaultサーバーで管理されるセキュリティ・アーティファクトを保護します。このRoT使用シナリオにおけるHSMでは、顧客の暗号化キーが格納されないことに注意してください。顧客のキーは、Oracle Key Vaultサーバーによって直接格納および管理されます。
HSMをRoTとして使用することは、不正な環境で起動されたOracle Key Vaultサーバーからキーを回復する試みを減らすことを目的としています。施設からのOracle Key Vaultサーバーの物理的喪失が、このようなシナリオの一例です。不正なユーザーが紛失または盗難されたOracle Key Vaultサーバーを実行しようとしても、承認されたHSMへのアクセス権がないと、アプライアンスに保存されている暗号化キーはリカバリできません。
Oracle Key Vaultでは、オペレーティング・システムの強化、データベースの暗号化、Database Vaultを使用したデータ・アクセスの実行などのセキュリティ・コントロールの階層を採用しています。これらのコントロールは、ユーザーが物理的にアクセス可能なシステムからキーや資格証明を抽出する潜在的なリスクを減らすように設計されています。管理者は、通常の日常的な業務のためにアプライアンスの内部コンポーネントにアクセスする必要はありません。Oracle Key Vaultは安全な場所にデプロイする必要があり、アプライアンスへの物理アクセスと論理アクセスを制御およびモニターする必要があります。
サイトでSafeNet、nCipher (Thales社)またはUtimacoのHSMを使用している場合は、スタンドアロン環境、プライマリ/スタンバイ環境およびマルチマスター環境のOracle Key Vaultを使用してこれらのHSM製品を構成できます。
このガイドでは、Oracle Key Vaultがインストールおよび構成されていることを前提としています。また、構成する予定のHSM製品について十分な知識があることも前提としています。
Oracle Key Vaultを使用してHSMを構成するために従う必要がある一般的なプロセスは次のとおりです。
- HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールします。
- Oracle Key VaultをHSMクライアントとしてエンロールします。
- 次のように、さらに構成操作を実行します。
- HSMを使用してTDEマスター暗号化キーの保護を構成します。
- プライマリ/スタンバイOracle Key VaultインストールでHSMを使用します。
- Oracle Key Vaultマルチマスター・クラスタ環境でHSMを使用します。
- HSMが有効になっているOracle Key Vaultインスタンスでバックアップおよびリストア操作を実行します。
- 必要に応じて逆移行を実行し、Oracle Key Vault環境がHSM対応でなくなるようにします。
親トピック: HSMのスタート・ガイド
1.2 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。