Tab navigation
インターネット上の情報を保護する最適な方法はその情報を暗号化することです。IBM System zは、種々の暗号化ニーズに対応するためにそれぞれ特別に作られた、暗号化コプロセッサーとアクセラレーターによる卓越したパフォーマンスと機能を提供します。z/OSオペレーティング・システムは、暗号化インフラストラクチャーを提供して、各暗号機構の長所を活用しています。この機構は、暗号化を何も意識させずに各タスクを処理します。その結果はどうでしょうか? ハードウェアが補助する暗号化のパフォーマンス上の利点により、z/OSの暗号化インターフェースによりすぐにアプリケーション(銀行用および金融アプリケーションなど)に効力が表れます。
System z(z9 EC、z9 BC、z990、z890)上で使用可能な暗号機能
第三世代の暗号機構であるCrypto Express2 は PCICA と PCIXCCを単一機構の中に組み合わせたもので、向上したセキュア鍵とシステム・スループットの提供が期待されます。このCrypto Express2機構は セキュア鍵とクリア鍵の両方のアプリケーションをミックスしてサポートします。また、Crypto Express2は、19ビットPAN(不正行為に対抗する先進的セキュリティー)用にCVV生成と検証サービスを提供します。さらに、Crypto Express2は、512ビット未満のキーを使用するクリア鍵操作を必要とするアプリケーションをサポートします。この機能は、一部の追加の暗号アプリケーションをSystem zに容易にマイグレーションできるように設計されています。この場合、このアプリケーションの再コーディングは不要です。Crypto Express2機構はSystem z モデル z9 EC、z9 BC、z990 および z890上で使用可能です。
CP Assist for Cryptographic Function(CPACF)は各中央処理装置に組み込まれて、IBMシステム・サーバー・ファミリーと一緒に出荷されます。このCPACF機構は、データ暗号化規格(DES)とTriple-DES(TDES)のデータ暗号化/暗号化解除をSHA-1ハッシュと一緒に搭載した中央処理装置(CP)ごとに暗号サポートを実現します。System z9 EC と z9 BCの各中央処理装置に組み込まれたCPACFは、Advanced Encryption Standard(AES)サポートおよびSHA-256ハッシュ・アルゴリズムを提供することにより暗号化を機能拡張しています。これらの暗号化機能が各中央処理装置(CP)に実装されているため、スループットは各システムで活動化された処理装置(PU)数によって拡張可能です。
System zプロセッサーは、空前の拡張容易性とデータ転送速度で1セットの対称暗号機能を提供し、同期的に実行します。これにより、SSL、VPN(仮想プライベート・ネットワーク)、およびFIPS 140-2 レベル4セキュリティーが不要なデータ・ストア・アプリケーションのパフォーマンスを向上させることができます。
PCIX暗号コプロセッサー(PCIXCC)は、PCICCとCCCF(元々System z プロセッサーで使用可能だったもの)に代わるものです。PCIXCCは、以前に使用されていた暗号コプロセッサー機構により使用可能だったセキュリティー関連の暗号機能すべてに対してサポート可能です。さらに、PCIXCCは、暗号化された鍵の値とユーザー定義拡張機能(UDX)の使用も可能です。
System zのオプションの暗号ハードウェア機構には、System z PCI 暗号コプロセッサー(PCICC)機構が含まれています。これは、不正開封防止設計となっており、公開鍵暗号化の他に対称暗号化をサポートします。PCI暗号コプロセッサーは拡張性がありプログラマブルです。PCICCは金融関係の部門全体に渡って使用されます。
System z PCI 暗号アクセラレーター(PCICA)機構は、計算中心の公開鍵暗号演算をハードウェア内で実行するように設計されていました。その目的は、e-businessに対して暗号サポートを提供することでした。PCI暗号アクセラレーター機構はz990上で使用可能であり、z900サーバー上でサポートされます。この機構は、z900からz990サーバーへアップグレード時にもそのまま続けてご使用いただけます。
Crypto Express2 用の新規FIPS認定
System zに対してフォーカスする1つの領域は、暗号化ハードウェアの認定でした。暗号化がキーとなるセキュリティー・ツールとなってきたために、業界と国の要求がIBMに対して動機付けを与えて、一層高いレベルの認定を達成するような方向付けを行いました。
2つのIBMの暗号フィーチャーは、最高レベルの連邦情報処理標準(FIPS)で認定されました。Crypto Express2 と PCIX暗号コプロセッサー(PCIXCC)機構は、業界トップのハードウェアの格付けFIPS 140-2 レベル4を取得しています。この認定は、Crypto Express2 と PCIX暗号コプロセッサーのセキュリティー・モジュールが、コンピューターと通信システムの範囲内で、Sensitive Information(米国)またはProtected Information(カナダ)を保護するセキュリティー・システムで使用される暗号モジュール要件を満たしたことを意味します。
FIPS 140-2 レベル4認定を達成するには、独立した研究所がこの製品に対して仮想的および物理的にアタックを行ってみることが許可され、数学モデルの機械的検証を使用して内部ソフトウェアのセキュリティーを検査する必要があります。PCIX暗号コプロセッサーのセキュリティー・モジュールは、Crypto Express2 と PCIXCC機構(IBM z9 EC、z9 BC、z990 および z890上で使用可能)の中で使用されています。
SSLおよびセキュリティーが豊富なWebコマース
Secure Sockets Layer(SSL)またはTransport Layer Security(TLS)プロトコルは、TCP/IPネットワーキングに対する公開鍵暗号ベースの拡張機能です。SSL /TLSを使用すると、インターネット上の当事者間で秘密の通信を保証できます。この通信は、インターセプトされる脅威なしにクレジット・カード番号などの情報をお客様から売買アプリケーションに受け渡すことができます。
System zは、セキュリティーを必要とするWebトランザクション処理が必要とするパフォーマンスと拡張性を提供します。System zは、SSL/TLS暗号化パフォーマンスを向上することにフォーカスしてきました。例えば、z990は暗号処理速度を提供します。具体的には、z/OS V1.4を使ってz990(16個のCPと6個のPCICA機構搭載)上で測定し、11,000 SSLハンドシェーク/秒を超える能力を発揮します(この数字を大局的に見ると、つい1998年には、System zのSSLのパフォーマンスは約 13 SSL/秒でした)。この超高速でセキュリティーが豊富なSSLは、オプションのCrypto Express2 機構(2つのPCI-Xアダプターの1つまたは両方をアクセラレーターとして構成時)とPCI暗号アクセラレーター(PCICA)機構の中の特別なハードウェアのおかげで効果を発揮します。
また、IBMは暗号サポートの機能拡張により、System zで使用可能なIntegrated Facility for Linux(IFL)エンジン用のCrypto Express2 と PCICA 機構の中でアクセラレーター能力を使用可能にしました。IFL は Linuxワークロードを実行するための専用エンジンです。アクセラレーター・サポートは、Linuxを稼働するSystem z上で標準エンジンとして以前から使用可能になっていました。
Crypto Express2 と PCICA機構の持つハイパフォーマンスが不要なお客様では、SSLサポート用のPCICCまたはPCIXCC暗号機構を使用することができます。
IBM、IBMロゴ、ibm.comおよびSystem zは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、www.ibm.com/legal/copytrade.shtml(US)をご覧ください。