|
|
 |
|
| セキュリティ保護の“最後の砦”として用いられるのが、暗号化ボリュームや暗号化ファイルシステムである。HPでは、暗号化ボリューム&ファイルシステム「EVFS(Encrypted
Volume & Filesystem)」の開発を進めている。EVFSは、HP-UXの暗号化ボリュームおよび暗号化ファイルシステム機能を提供するもので、年内には無償で提供が開始される予定だ。EVFSによるデータの暗号化によって、これまで限られたサーバやストレージ上にしか置けなかった機密性の高いデータであっても、SANや仮想化環境といったあらゆる場所に保管できるようになる。 |
|
|
|
|
ひとことに「セキュリティ」と言っても、そこにはさまざまな意味が含まれている。まずは、以下の図を見ていただきたい。
|
| 図1:UNIXシステムで用いられるさまざまなセキュリティ技術 |
|
この図は、UNIXシステムで一般的に用いられているセキュリティ技術を概観したものだ。例えばユーザ認証には、ユーザ名とパスワードによるシンプルなログイン認証をはじめ、KerberosやAAA、LDAPといった仕組みが用いられる(参考:コラム「LDAP、Kerberos、RADIUSで統合認証を自在にあやつるHP-UX」)。また、システムやネットワークの外部との通信の秘匿性を確保する手段としては、sshやSSL、IPsec、SMIMEなどの利用が一般的だ。さらにはIDSのように不正アクセスの検知と対処を目的としたセキュリティ技術もある。
このように、セキュリティには複合的な側面があり、いずれかひとつの技術だけですべてをカバーすることは不可能だ。例えば「ウチのシステムはSSLに対応しているからセキュリティは万全だ」とは言えないのである。SSLによりネットワーク上のデータ傍受を防いだとしても、誰かがサーバのディスクを取り外してしまえば、重要データも簡単に読めてしまう。実際、メンテナンスやトラブル対応時に取り外したディスク・ドライブや、古いバックアップ・メディアについて、物理的な破棄まできちんと実施している企業は、意外に少ないのではないだろうか。
そこで、セキュリティ保護の“最後の砦”として用いられるのが、暗号化ファイルシステムである。つまり、ディスク上のデータそのものを暗号化することで、たとえディスクを物理的に取り外したとしても、データを複合化する「鍵」を持たない限り解読できないメカニズムである。この暗号化ファイルシステムを各種のセキュリティ技術と組み合わせることで、システム全体のセキュリティをより強固なものとすることができる。 |
|
|
|
そうした暗号化ファイルシステムへのニーズに応えるべく、HPでは、暗号化ファイルシステム「EVFS(Encrypted
Volume & Filesystem)」の開発を進めている。EVFSは、HP-UXの暗号化ボリューム機能および暗号化ファイルシステムを提供するもので、年内より無償で提供が開始される予定だ(暗号化ファイルシステムは2007年以降に提供予定)。
EVFSの特徴は以下の通りである。
| ディスク上のデータを暗号化 |
EVFSでは、ディスク上に記録するデータそのものを暗号化する。
そのため、もしディスク・ドライブやバックアップ・メディアの紛失や盗難があったとしても、データの保護が可能だ。 |
| アプリケーション透過性 |
EVFSは、アプリケーションからはHP-UXの普通のファイルシステム(VxFS/HFS)やボリューム(LVM)として認識される。よって、アプリケーション側で特別なAPIを実装したり改変を行ったりする必要はない。 |
「ボリューム単位の保護」と
「ファイル単位の保護」に対応 |
EVFSでは、ファイルごとの暗号化とボリューム全体の暗号化という2通りのデータ保護機能を提供しており、用途に応じて選択できる。 |
故意や過失によるデータへの
不用意なアクセスを防止 |
データにアクセスするには「鍵」と「パスフレーズ(パスワード)」が必要であるため、システム管理者が不用意にデータにアクセスすることを防止できる。 |
|
| 図2:一般的なファイルシステムとEVFSの違い |
|
|
|
図2は、ファイル単位の保護について、一般的なファイルシステムとEVFSの違いを示した図である。例えばHP-UXにおけるVxFSやHFSなどの一般的なUNIXファイルシステムでは、ファイルやユーザの単位でパーミッションやACL(アクセス制御リスト)を管理することで、ファイルへのアクセスを制限する。しかし、ディスク上のデータそのものが暗号化されているわけではない。そのため、特権を持つユーザやアプリケーションからアクセスする場合、ディスクそのものを取り外した場合、バックアップ・メディアから別ディスク上にリストアした場合などは、自由にデータにアクセスできる(図2:<1>)。
一方、EVFSでは、ディスク上に記録された個々のファイルの中身そのものが暗号化されている(図2:<2>)。よって、適切な鍵を持つユーザやアプリケーションであれば、データを復号化することができる(図2:<3>)。これに対し、たとえ特権を持つユーザでも、鍵を持たなければ物理的にどのような策を講じてもファイルの中身を見ることができない(図2:<4>)。
|
|
|
ひきつづき後半では、このEVFSの内部メカニズムをもう少し詳しく見ていきたい。
|
| 本ページの内容は執筆時の情報に基づいており、異なる場合があります。 |
ご購入前のお問い合わせ
 |
|
エンタープライズ向け製品の
ご購入前のご相談
03-5749-8328
09:00-19:00 (月曜−金曜)
10:00-17:00 (土曜)
※祝祭日と5月1日は除く |
|
|
|
 |
|
製品・キャンペーンに関するお問い合わせ
|
|
|
ご購入後のお問い合わせ
オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。
ショールーム
 |
|
導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策を実体験して頂けます。
|
|
印刷用画面へ
