1. システム・セキュリティの拡張
  2. システム・セキュリティの管理
  3. データの暗号化について

データの暗号化について

Oracle Linuxに付属している暗号化ライブラリは、データ暗号化機能を提供するためにソフトウェアで使用できます。データ暗号化を使用して、保存されているデータまたは転送されるデータを保護できます。ストレージ・デバイスおよびメディア上のデータは、漏えいするリスクまたはデバイスが紛失するリスクがあります。ローカル・エリア・ネットワークおよびインターネットで転送されるデータは、インターセプトまたは変更される可能性があります。データを暗号化することで、ストレージ内または転送中のデータを保護し、より安全なインフラストラクチャを提供できます。また、プライバシ・データおよび個人データを保護するデータ暗号化はますます、企業のセキュリティ・ポリシーおよび政府規制(HIPAA、GLBA、SOX、PCI DSSなど)の必須要件となっています。

Oracle Linuxシステムには、データを保護するための方法がいくつか用意されています。

  • システムおよびアプリケーション・ソフトウェアをインストールするときは、信頼できるソースによってデジタル署名されたRPMパッケージのみを受け入れます。

    ダウンロードしたソフトウェア・パッケージが署名済であることを確認するには、リポジトリ構成ファイルでgpgcheck=1を設定して、ソフトウェア・サプライヤから提供されたGPGキーをインポートします。Oracle Linuxイメージに対しては、通常は、/etc/dnf/dnf.confファイルでグローバル・デフォルトとしてこの設定が有効になっています。暗号化を使用して通信チャネルを保護するSecure Sockets Layer (SSL)プロトコルを使用して、RPMをインストールすることもできます。

    詳細は、Oracle Linux: Oracle Linuxでのソフトウェアの管理を参照してください。

  • 特にラップトップ、外部ハード・ドライブおよびUSBメモリー・スティックなどのリムーバブル・デバイスでデータ漏えいを防止するには、フルディスク暗号化の使用を検討します。Oracle Linuxは、dm-cryptカーネル・モジュールおよびLinux Unified Key Setup (LUKS)形式を使用したブロック・デバイス暗号化を提供しています。cryptsetup管理コマンドは、cryptsetupパッケージにあります。

    これらの技術では、システムがオフのときにデータにアクセスできないように、デバイス・パーティションを暗号化します。システムをブートして適切なパスフレーズを指定すると、デバイスは復号化され、データにアクセスできるようになります。ブロック・デバイスの暗号化の詳細は、『Oracle Linux 9 ストレージデバイスの管理』を参照してください。一般的な使用方法の手順については、cryptsetup(8)マニュアル・ページも参照してください。

  • Oracle Linuxでは、暗号化を使用して仮想プライベート・ネットワーク(VPN)およびセキュア・シェル(SSH)をサポートしています。これらのツールを使用して、エンド・ツー・エンドのネットワーク・トラフィックを暗号化できるため、転送中にデータが安全に保たれます。詳細は、Oracle Linux: OpenSSHを使用したリモート・システムへの接続、およびOracle Linux: 仮想プライベート・ネットワークの構成の「仮想プライベート・ネットワークの構成」を参照してください。

  • Oracle Linuxでは、暗号化を使用してシステム・パスワードを格納します。デフォルトでは、Oracle Linuxは強力なパスワード・ハッシュ・アルゴリズム(SHA-512)を使用し、ハッシュ・パスワードを/etc/shadowファイルに保存します。

  • Oracle Linuxは、Advanced Encryption Standard New Instructions (AES-NI)命令セットを使用するIntel CPUのハードウェア高速暗号化を利用して、x86_64アーキテクチャでのAESおよびRC4アルゴリズムの実行を高速化します。