セキュリティ

高度にセキュアなトランザクションのための IBM System z 暗号化技術

PDFを見るにはAdobe® Reader®が必要です。
Adobe Reader

インターネット上の情報を保護する最適な方法はその情報を暗号化することです。IBM System zは、種々の暗号化ニーズに対応するためにそれぞれ特別に作られた、暗号化コプロセッサーとアクセラレーターによる卓越したパフォーマンスと機能を提供します。z/OS オペレーティング・システムは、暗号化インフラストラクチャーを提供して、各暗号機構の長所を活用しています。この機構は、暗号化を何も意識させずに各タスクを処理します。その結果はどうでしょうか? ハードウェアが補助する暗号化のパフォーマンス上の利点により、z/OS の暗号化インターフェースによりすぐにアプリケーション (銀行用および金融アプリケーションなど)に効力が表れます。

第三世代の暗号機構である Crypto Express2 は PCICA と PCIXCCを単一機構の中に組み合わせたもので、向上したセキュア鍵とシステム・スループットの提供が期待されます。この Crypto Express2 機構はセキュア鍵とクリア鍵の両方のアプリケーションをミックスしてサポートします。また、Crypto Express2 は、19 ビット PAN (不正行為に対抗する先進的セキュリティー)用に CVV 生成と検証サービスを提供します。さらに、Crypto Express2 は、512 ビット未満のキーを使用するクリア鍵操作を必要とするアプリケーションをサポートします。この機能は、一部の追加の暗号アプリケーションを System zサーバーに容易にマイグレーションできるように設計されています。この場合、このアプリケーションの再コーディングは不要です。Crypto Express2 機構は System zモデル z9 EC、z9 BC、z890、および z990 サーバー上で使用可能です。

CP Assist for Cryptographic Function (CPACF)は各中央処理装置に組み込まれて、IBM システム・サーバー・ファミリーと一緒に出荷されます。この CPACF 機構は、データ暗号化規格 (DES)とTriple-DES (TDES)のデータ暗号化/暗号化解除を SHA-1 ハッシュと一緒に搭載した中央処理装置 (CP)ごとに暗号サポートを実現します。System z9 EC と z9 BC の各中央処理装置に組み込まれた CPACF は、Advanced Encryption Standard(AES)サポートおよび SHA-256 ハッシュ・アルゴリズムを提供することにより暗号化を機能拡張しています。これらの暗号化機能が各中央処理装置(CP)に実装されているため、スループットは各システムで活動化された処理装置(PU)数によって拡張可能です。

System z プロセッサーは、空前の拡張容易性とデータ転送速度で1セットの対称暗号機能を提供し、同期的に実行します。これにより、SSL、VPN (仮想プライベート・ネットワーク)、および FIPS 140-2 レベル 4 セキュリティーが不要なデータ・ストア・アプリケーションのパフォーマンスを向上させることができます。

PCIX暗号コプロセッサー(PCIXCC)(US)は、PCICCとCCCF(元々 System zプロセッサーで使用可能だったもの)に代わるコプロセッサーです。PCIXCCは、以前に使用されていた暗号コプロセッサー機構により使用可能だったセキュリティー関連の暗号機能すべてに対してサポート可能です。さらに、PCIXCCは、暗号化された鍵の値とユーザー定義拡張機能 (UDX)の使用も可能です。

System z サーバーのオプションの暗号ハードウェア機構には、System z PCI 暗号コプロセッサー(PCICC)(US)機構が含まれています。これは、不正開封防止設計となっており、公開鍵暗号化の他に対称暗号化をサポートします。PCI 暗号コプロセッサーは拡張性がありプログラマブルです。PCICC は金融関係の部門全体に渡って使用されます。

System z PCI 暗号アクセラレーター(PCICA)(US)機構は、計算中心の公開鍵暗号演算をハードウェア内で実行するように設計されていました。その目的は、e-business に対して暗号サポートを提供することでした。PCI 暗号アクセラレーター機構は z990 上で使用可能であり、z900 サーバー上でサポートされます。この機構は、z900 から z990 サーバーへアップグレード時にもそのまま続けてご使用いただけます。

System z に対してフォーカスする1つの領域は、暗号化ハードウェアの認定でした。暗号化がキーとなるセキュリティー・ツールとなってきたために、業界と国の要求が IBM に対して動機付けを与えて、一層高いレベルの認定を達成するような方向付けを行いました。

2つの IBM の暗号フィーチャーは、これで最高レベルの連邦情報処理標準（FIPS）で認定されました。Crypto Express2 と PCIX暗号コプロセッサー (PCIXCC) 機構は、これで業界トップのハードウェアの格付け ?FIPS 140-2 レベル 4 を保持しました。この認定の意味は、Crypto Express2 と PCIX暗号コプロセッサーのセキュリティー・モジュールが、コンピューターと通信システムの範囲内で、Sensitive Information (米国) または Protected Information (カナダ) を保護するセキュリティー・システムで使用される暗号モジュール要件を満足したということです。

FIPS 140-2 レベル 4 認定を達成するには、独立した研究所がこの製品に対して仮想的および物理的にアタックを行ってみることが許可され、数学モデルの機械的検証を使用して内部ソフトウェアのセキュリティーを検査する必要があります。PCIX暗号コプロセッサーのセキュリティー・モジュールは、Crypto Express2と PCIXCC機構 (IBM z9 EC、z9 BC、z990、および z890上で使用可能)の中で使用されています。FIPS 認定の詳細は、http://csrc.nist.gov/cryptval/140-1/1401val2005.htm#524(US)にアクセスしてください。

Secure Sockets Layer (SSL) または Transport Layer Security (TLS) プロトコルは、TCP/IP ネットワーキングに対する公開鍵暗号ベースの拡張機能です。SSL /TLS を使用すると、インターネット上の当事者間で秘密の通信を保証できます。この通信は、インターセプトされる脅威なしにクレジット・カード番号などの情報をお客様から売買アプリケーションに受け渡すことができます。

System z サーバーは、セキュリティーを必要とするWeb トランザクション処理が必要とするパフォーマンスと拡張性を提供します。System z は、SSL/TLS 暗号化パフォーマンスを向上することにフォーカスしてきました。そして、現在をご覧ください。例えば、z990 サーバーは暗号処理速度を提供します。具体的には、z/OS1.4 を使って z990 (16 個の CP と 6 この PCICA 機構搭載) 上で測定し、11,000 SSL ハンドシェーク/秒を超える能力を発揮します。(この数字を大局的に見ると、つい 1998 年には、System z の SSL のパフォーマンスは約 13 SSL/秒でした。) この超高速でセキュリティーが豊富な SSL は、オプションの Crypto Express2 機構 (2 つの PCI-X アダプターの1つまたは両方をアクセラレーターとして構成時) と PCI 暗号アクセラレーター(PCICA)機構の中の特別なハードウェアのおかげで効果を発揮します。

また、IBM は暗号サポートの機能拡張を行ってきて、System z サーバーで使用可能な Integrated Facility for Linux (IFL) エンジン用の Crypto Express2 と PCICA 機構の中でアクセラレーター能力を使用可能にしました。IFL は Linux ワークロードを実行するための専用エンジンです。アクセラレーター・サポートは、Linux を稼働する System z サーバー上で標準エンジンとして以前に使用可能になっていました。

Crypto Express2 と PCICA機構の持つハイパフォーマンスが不要なお客様では、SSL サポート用の PCICCまたは PCIXCC暗号機構を使用することができます。

IBM は、カスタマイズされた暗号機能を Crypto Express2 と PCIX暗号コプロセッサー (PCIXCC) 機構にロードするサポートを提供して、ユーザー定義拡張機能 (UDX) を実行します。詳細は、このリンク(US)上で「カスタム・プログラミング」タブを選択してください。