Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ドライブセキュリティ機能の仕組み

共同作成者
PDF

ドライブセキュリティは、 Full Disk Encryption ( FDE )ドライブまたは連邦情報処理標準( FIPS )ドライブを使用してセキュリティを強化するストレージアレイの機能です。

これらのドライブをドライブセキュリティ機能と組み合わせて使用すると、データにアクセスするためのセキュリティキーが必要になります。ドライブをアレイから物理的に取り外した場合、別のアレイに取り付けるまでドライブは動作しません。別のアレイに取り付けると、正しいセキュリティキーを指定するまでセキュリティロック状態になります。

ドライブセキュリティの実装方法

ドライブセキュリティを実装するには、次の手順を実行します。

  1. ストレージアレイにセキュリティ対応のFDEドライブまたはFIPSドライブを取り付けます(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリュームグループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSのみのボリュームグループまたはプールでFDEドライブを追加したりスペアとして使用したりすることはできません)。

  2. セキュリティキーを作成します。セキュリティキーは、読み取り/書き込みアクセス用にコントローラとドライブで共有される文字列です。コントローラの永続的メモリから内部キーを作成するか、キー管理サーバから外部キーを作成できます。外部キー管理の場合は、キー管理サーバとの間で認証を確立する必要があります。

  3. プールおよびボリュームグループに対してドライブセキュリティを有効にします。

    • プールまたはボリュームグループを作成します(受験者テーブルの「Secure Capable 」列で「 Yes」を検索してください)。

    • 新しいボリュームを作成するときにプールまたはボリュームグループを選択します(Pool and volume group Candidatesテーブルで、「* SecureCapable 」の横の「 Yes」*を探します)。

ドライブレベルでのドライブセキュリティの動作

セキュリティ対応ドライブであるFDEまたはFIPSでは、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。各ドライブには固有の暗号化キーがあり、ドライブから転送することはできません。

ドライブセキュリティ機能は、セキュリティ対応ドライブを使用して保護を強化します。これらのドライブのボリュームグループまたはプールをドライブセキュリティの対象として選択すると、ドライブはセキュリティキーを探してからデータへのアクセスを許可します。プールおよびボリュームグループのドライブセキュリティはいつでも有効にでき、ドライブ上の既存データには影響しません。ただし、ドライブセキュリティを無効にするには、ドライブ上のすべてのデータを消去する必要があります。

ストレージアレイレベルでのドライブセキュリティの動作

ドライブセキュリティ機能を使用する場合、セキュリティ有効ドライブとストレージアレイのコントローラで共有されるセキュリティキーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラがセキュリティキーを適用するまでセキュリティ有効ドライブはセキュリティロック状態になります。

セキュリティ有効ドライブをストレージアレイから取り外して別のストレージアレイに取り付けると、ドライブはセキュリティロック状態になります。再配置したドライブでは、データに再びアクセスできるようにする前にセキュリティキーが検索されます。データのロックを解除するには、ソースストレージアレイからセキュリティキーを適用します。ロック解除プロセスが正常に完了すると、再配置したドライブでターゲットストレージアレイにすでに格納されているセキュリティキーが使用されるため、インポートしたセキュリティキーファイルは不要になります。

メモ

内部でキーを管理する場合、実際のセキュリティキーはコントローラ上のアクセスできない場所に格納されます。人間が判読できる形式ではなく、ユーザがアクセスすることもできません。

ボリュームレベルでのドライブセキュリティの動作

セキュリティ対応ドライブからプールまたはボリュームグループを作成する場合、そのプールまたはボリュームグループに対してドライブセキュリティを有効にすることもできます。ドライブセキュリティを有効にすると、ドライブとそれに関連付けられているボリュームグループおよびプールがsecure-_enabled_になります。

セキュリティ有効のボリュームグループおよびプールを作成する際は、次のガイドラインに注意してください。

  • ボリュームグループとプールはセキュリティ対応ドライブだけで構成されている必要があります。(FIPSのサポートが必要なドライブには、FIPSドライブのみを使用します。ボリュームグループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPSのみのボリュームグループまたはプールでFDEドライブを追加したりスペアとして使用したりすることはできません)。

  • ボリュームグループとプールの状態が最適lである必要があります。