1 HSMのスタート・ガイド

ハードウェア・セキュリティ・モジュール(HSM)をOracle Key Vaultに統合するには、Oracle Key VaultにHSMクライアント・ソフトウェアをインストールして、HSMクライアントとしてエンロールする必要があります。

1.1 Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携

このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。

ハードウェア・セキュリティ・モジュール(HSM)には、HSM内に格納されているセキュリティ・オブジェクトを保護するために設計された、改ざん耐性を持つ専用ハードウェアが含まれています。HSMは、デジタル・キーを保護および管理し、クライアントに暗号化処理を提供する物理的なコンピューティング・デバイスです。HSMは、通常、セキュリティ・オブジェクトがHSMの暗号化境界から離れることを許可しません。

Oracle Key Vaultは、セキュリティ・オブジェクトを安全に格納、管理および共有するためのキー管理プラットフォームです。HSMとは異なり、Oracle Key Vaultでは、信頼できるクライアントが復号化キーなどのセキュリティ・オブジェクトを取得できます。Oracle Key Vaultは、オペレーティング・システム、データベースおよびキー管理アプリケーションを含むフルスタック・ソフトウェア・アプライアンスです。Oracle Key Vaultは、組織がキーと資格情報を格納および管理できるように設計されています。

組織によっては、暗号化キーを保護するためにHSMの使用が必要になる場合があります。それらはHSMの暗号化境界から離れることができないように設計されているため、ほとんどの場合、データベースをHSMに直接接続することは実用的ではありません。かわりに、データベースがOracle Key Vaultに接続し、HSMで保護されます。この構成により、HSMにOracle Key Vaultのルート・オブ・トラスト(RoT)が確立されます。HSMがOracle Key Vaultとともにデプロイされると、RoTはHSMに残ります。HSM RoTでは、透過的データ暗号化(TDE)ウォレット・パスワードを保護します。このようにしてTDEマスター・キーを保護することで、すべての暗号化キーや証明書などのOracle Key Vaultサーバーで管理されるセキュリティ・アーティファクトを保護します。このRoT使用シナリオにおけるHSMでは、顧客の暗号化キーが格納されないことに注意してください。顧客のキーは、Oracle Key Vaultサーバーによって直接格納および管理されます。

HSMをRoTとして使用することは、不正な環境で起動されたOracle Key Vaultサーバーからキーを回復する試みを減らすことを目的としています。仮想化ゲストとして動作するOracle Key Vaultサーバーであるディスク・イメージを物理的に盗難することは、このようなシナリオの一例です。不正なユーザーが盗難されたOracle Key Vaultサーバーを実行しようとしても、承認されたHSMへのアクセス権がないと、アプライアンスに保存されている暗号化キーをリカバリできません。

Oracle Key Vaultでは、オペレーティング・システムの強化、データベースの暗号化、Database Vaultを使用したデータ・アクセスの実行などのセキュリティ・コントロールの階層を採用しています。これらのコントロールは、ユーザーが物理的にアクセス可能なシステムからキーや資格証明を抽出する潜在的なリスクを減らすように設計されています。管理者は、通常の日常的な業務のためにアプライアンスの内部コンポーネントにアクセスする必要はありません。したがって、四半期ごとにリリース・アップグレードを適用する必要がある場合を除き、Oracle Key Vaultへのセキュア・シェル・プロトコル(ssh)アクセスを常に無効にする必要があります。Oracle Key Vaultは安全な場所にデプロイする必要があり、アプライアンスへの物理アクセスと論理アクセスを制御およびモニターする必要があります。

スタンドアロン、プライマリ/スタンバイおよびマルチマスター環境で、Oracle Key VaultとともにHSMを構成できます。HSMベンダーが要件を満たしている場合は、そのベンダーとともに、Oracle Key Vaultと連携するようにそのベンダーのHSMを構成できます。サイトでThales (旧SafeNet Luna)、Entrust (旧nCipher)またはUtimacoのHSMを使用している場合は、Thales、EntrustまたはUtimacoのベンダー固有のノートで示されている手順に従って、これらのHSMを構成できます。ただし、Oracle Key Vault 21.8以降では、Thales、EntrustまたはUtimacoのベンダー固有の構成およびノートの使用は非推奨となっています。HSMでOracle Key Vaultのルート・オブ・トラストを確立するには、HSMベンダーから示されている手順に従う必要があります。

このガイドでは、Oracle Key Vaultがインストールおよび構成されていることを前提としています。また、構成する予定のHSMについて十分な知識があることも前提としています。

Oracle Key Vaultを使用してHSMを構成するために従う必要がある一般的なプロセスは次のとおりです。

  1. HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールし、HSMに必要な構成を実行します。
  2. Oracle Key VaultをHSMクライアントとしてエンロールします。
  3. 次のように、さらに構成操作を実行します。
    • HSMを使用してTDEマスター暗号化キーの保護を構成します。
    • プライマリ/スタンバイOracle Key VaultインストールでHSMを使用します。
    • Oracle Key Vaultマルチマスター・クラスタ環境でHSMを使用します。
    • HSMが有効になっているOracle Key Vaultインスタンスでバックアップおよびリストア操作を実行します。
    • 必要に応じて逆移行を実行し、Oracle Key Vault環境がHSM対応でなくなるようにします。

1.2 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール

Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。

  1. ベンダーのソフトウェアにPKCS#11ライブラリが含まれていることを確認します。
    詳細は、HSMベンダーから提供されるHSMドキュメントを参照してください。
  2. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
    HSM製品は、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1またはその他のHSMベンダーからインストールできます。別のベンダーからHSMをインストールする場合、このベンダーは統合の手順を提供する必要があります。

1.3 HSMのクライアントとしてのOracle Key Vaultのエンロール

Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。

Oracle Key VaultはThales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のベンダーによるHSMのクライアントとしてOracle Key Vaultをエンロールする場合は、このベンダーが統合の手順を提供していることを確認します。

Oracle Key VaultをHSMのクライアントとしてエンロールするための手順がHSMベンダーから示されていることを確認します。

  1. Oracle Key VaultサーバーにHSMベンダーのクライアント・ソフトウェアをインストールします。
  2. HSMクライアント・ソフトウェアで、Oracle Key VaultからHSMに通信できることを確認します。