暗号化

システムは、オプションで、保存データの暗号化を提供します。これにより、廃棄されたか、紛失したか、または盗難にあったフラッシュ・モジュールに機密のユーザー・データおよびユーザー・メタデータが格納されていた場合でも、機密漏れの可能性からデータを保護することができます。システム・データとシステム・メタデータの暗号化は必須ではないため、システム・データとメタデータは暗号化されません。

暗号化を使用する場合、フィーチャー・コード AF14: 暗号化イネーブルメント・パック (工場) を購入したことを確認してください。

シナリオ 1: 暗号化を使用する新規システムの初期化

このシナリオでは、現時点ではフラッシュ・モジュールに保管されているデータを 1 つも持っていない新規システムで、暗号化の初期化およびアクティブ化を行います。システムの購入時に暗号化フィーチャー・コード AF14 を購入しました。この場合、IBM は、合計 3 つの USB フラッシュ・ドライブを配送します。1 つの USBフラッシュ・ドライブはシステム用で、その他の 2 つの USB フラッシュ・ドライブは暗号化フィーチャー・コード用です。

初期化ツールを使用して暗号化をアクティブ化することができます。暗号化がアクティブ化されると、システムに保管されている暗号化データにアクセスするために使用される暗号鍵がシステムによって生成されます。初期化ツールは、複数の USB フラッシュ・ドライブに暗号鍵をコピーするプロセスを通じてユーザーをガイドするウィザードを起動します。以下のアクションは、暗号鍵をコピーして保管するためのベスト・プラクティスとして考えれています。
  1. システムにアクセスするために、少なくとも 3 個の USB フラッシュ・ドライブ上に暗号鍵のコピーを作成します。
  2. これ以外にも、他の形式のストレージに対する暗号鍵をコピーすることにより、例えば、3 つの USB フラッシュ・ドライブが障害のあるドライブのバッチのものだった場合などに備えて、回復力を提供してリスクを軽減するようにする。
  3. 初期化されるシステムにユーザー・データを書き込む前に、暗号鍵のコピーごとにテストを行う。
  4. 暗号鍵のすべてのコピーを安全に保管する。例として、システムに挿入されたままにしていない USB フラッシュ・ドライブはすべて、施錠した金庫に保管することができます。他の形式のストレージに保管されている他のすべての暗号鍵のコピーについても、同様の予防措置を講じる必要があります。
    注: 初期化中に、ウィザードで、暗号鍵が入った 2 個の USB フラッシュ・ドライブを各キャニスターに 1 つずつ挿入するよう求めるプロンプトが表示されます。このとき、システムが配置されている物理環境に高度な機密保護機能があることが前提となります。

シナリオ 2: システム初期化後の暗号化のアクティブ化

システムが初期化された後に暗号化がアクティブ化された場合、以下の状況が起こる可能性があります。
  • 以前に初期化されたシステムへの暗号化ライセンスの追加
  • 以前に初期化されたシステム上の暗号鍵の変更
これらの操作はどちらも、IBM サポートとの綿密な連携があってこそ実行できます。どちらの操作を行う場合でも、フィーチャー・コード AF14: 暗号化イネーブルメント・パック (工場) を購入することが必要であり、既存のデータをすべてフラッシュ・モジュールからコピーして外部ストレージに保管することが必要です。

ライセンスを購入するには、価格見積要求 (RPQ) を IBM サポートに送信して、ご使用のシステムへの暗号化フィーチャー・コードの適用を要請する必要があります。フィーチャー・コードを購入すると、IBM からさらに 2 個の USB フラッシュ・ドライブが配送されます。

以前に初期化したシステムで暗号化をアクティブ化する場合は、IBM サポートとの連携により以下のステップを完了します。
  1. すべての仮想ボリューム上に保管されているすべてのデータを外部ストレージにコピーします。以前に初期化されたシステムで暗号化をアクティブ化する前に、すべてのユーザー・データをシステムから削除する必要があります。保持する必要のあるデータをすべて、別の種類のレジリエント・ストレージに移動します。システムで暗号化がアクティブ化されると、フラッシュ・モジュール上の既存のデータは暗号化を用いてすべて効果的に削除されます。
  2. 暗号化を使用せずに定義されていた仮想ボリュームおよび RAID アレイをすべて削除します。
  3. 初期化ツールを開始し、「はい」を選択して、新規システムを構成します。
  4. 「暗号化」パネルで、「はい」を選択して、ライセンスを購入済みで暗号化をアクティブ化することを指定します。
  5. 初期化ツールを完了します。暗号鍵のコピーが少なくとも 3 個の USB フラッシュ・ドライブにコピーされ、環境で必要となる他のストレージにも追加のコピーがコピーされるようにしてください。
  6. 初期化ツールの後、管理 GUI を開始して、システム・セットアップ・ウィザードを実行します。このセットアップ・ウィザードにより、暗号化された RAID アレイが自動的に作成されます。
  7. ステップ 1 で外部ストレージにコピーしたすべてのデータをシステムにコピーします。
警告: システムの始動時 (電源オン時)、または暗号化システムにアクセスする際には、システムにアクセスできるように、外部ソースから暗号鍵を提供する必要があります。暗号鍵は、システムの初期化時に作成された鍵のコピーを保管する USB フラッシュ・ドライブから読み取られます。システムを自動的にリブートしたい場合、2 つのキャニスターの両方に暗号鍵が保管された USB フラッシュ・ドライブを挿入したままにしておいて、電源オン時に両キャニスターが暗号鍵にアクセスできるようにする必要があります。この方式では、システムが配置されている物理環境には、許可されていない人物が USB フラッシュ・ドライブの暗号鍵のコピーを作成して、システムに格納されているデータにアクセスすることがないように、高度な機密保護機能が要求されます。最高度の機密保護機能を要求される操作では、USB フラッシュ・ドライブをシステムのキャニスターに挿入したままにしないでください。ただし、この方式では、システムのリブート前に、暗号鍵のコピーが含まれている USB フラッシュ・ドライブを両方のキャニスターに手動で挿入する必要があります。暗号鍵は、暗号化されたデータにアクセスするために必要で、USB フラッシュ・ドライブ・コピーおよび他の形式のストレージに作成された追加のコピーのみに常駐しています。ユーザーが維持するコピーがすべて失われたかリカバリー不能になった場合は、IBM で暗号鍵をリカバリーまたは再生成することはできません。

サポートに必要なフィーチャー・コード AF14: 暗号化イネーブルメント・パック (工場)

「はい」を選択して暗号化をアクティブ化する場合、さらなる IBM サポートを得るには、暗号化フィーチャー・コード (FC AF14: 暗号化イネーブルメント・パック (工場)) の購入の証明を提示する必要があります。

以下の制約事項を回避するには、RPQ による IBM サポートが必要です。
  • システムが初期化された後に、暗号化をアクティブ化または非アクティブ化することはできません。
  • 暗号鍵を変更できません。