セキュリティー

Webトランザクションからお客様のデータ・プライバシーまで、IBM System z はビジネス・セキュリティー課題に対応するように設計されたソリューションを提供します。以下には、System zセキュリティー・ソリューションにおけるキーとなるビルディング・ブロックの概要を記載しています。

Encryption Facility for z/OSは、データの紛失、および過失または故意の漏えいを各企業が保護できるように設計された、ホスト・ベースのソフトウェア・ソリューションです。暗号化（強力で広範囲に使用されるテクノロジー）がz/OSで強化され、各企業が信頼されたパートナーと機密データを安全に共用できるようになります。また、保存やアーカイブを目的として磁気テープ上に暗号化データを格納することにより、Encryption Facility for z/OSは、安心して保管データに保護を拡大することもできます。さらに、Encryption Facility for z/OSの設計により、既存の集中化された鍵管理を利用し、ICSFが提供する認証機能にアクセスします。この製品発表によって、メインフレームのお客様は、暗号コプロセッサーおよびアクセラレーターが提供する既存のハードウェア能力（圧縮および卓越したパフォーマンス）の恩恵を受けることもできます。この暗号コプロセッサーおよびアクセラレーターはさまざまな暗号化ニーズに合わせて個々に構成可能です。

• Encryption Facility for z/OS （US）
• System z PCI 暗号コプロセッサー（PCICC） （US）
• System z PCI 暗号アクセラレーター（PCICA） （US）

1991年以来、System zに内蔵されたハードウェア暗号化機構は、提供するセキュリティー・レベルとパフォーマンスの両面で、常に業界のリーダーであり続けてきました。ハードウェアの暗号化装置の設計により、不正開封防止のセキュリティー境界が設けられ、金融アプリケーションのための要件を満足させることができます。

CPACF（クリア鍵暗号化による対称暗号化の高パフォーマンスを実現）は、出荷されたIBM System z9 EC と BC、z990 と z890の中央処理装置およびIntegrated Facility for Linux（IFL）エンジンに搭載される標準機構です。System z9の発表により、CPACFが機能拡張されて128ビット鍵に対するAdvanced Encryption Standard（AES）、Secure Hash Algorithm-256（SHA-256）およびPseudo Random Number Generation（PRNG）をサポートするようになりました。これらの暗号化機能がIBM System z9 EC中央処理装置（CP）またはIFLエンジンに実装されているため、発揮される可能性のあるスループットは取り付けられた処理装置（PU）数によって拡張性があります。

セキュア鍵暗号化に対するサポートが必要なお客様は、オプションのCrypto Express2 機構がz890、z990 および System z9 EC と BC 上で使用可能です。柔軟性を実現するためにCrypto Express2機構が2つのPCI-Xアダプターを提供し、これをコプロセッサー2つ、アクセラレーター2つ、または1つのコプロセッサーと1つのアクセラレーターの組み合わせとして構成可能です。このCrypto Express2機構は、コプロセッサーとして定義されていると、高度にセキュアな暗号機能、セキュアな暗号化鍵の値の使用およびUser-Defined Extensions（UDX）をサポートします。また、Crypto Express2機構は、アクセラレーターとして構成されていると、Secure Socket Layer（SSL）および潜在的にはTransport Layer Security（TLS）プロトコル（一般にはオンデマンド・ビジネス機能をサポート）に使用される複雑なRSA暗号化演算のパフォーマンスを大幅に改善することができます。4CPと両PCI-Xアダプター（アクセラレーターとして構成）搭載のSystem z9 ECを使用したテストでは、このCrypto Express2機構は最大6000 SSLハンドシェーク数/秒を実現しました。この数字の意味は、1カード当たりのベースで計算すると約3倍^※1のパフォーマンス改善を表しています（機構当たり2つのPCIアクセラレーター搭載のPCI Cryptographic Accelerator（PCICA）機構、または機構当たり2つのPCI-Xアダプター搭載の現行Crypto Express2機構を使用時のz990と比較）。暗号化は、System zプロセッサー上のセキュリティーに関する複数エレメントをサポートする、コア・テクノロジーです。これらのエレメントの1つは、ユーザー識別および認証と呼ばれています。

上に戻る

4.2レベルのLicensed Internal Codeを搭載したTrusted Key Entry（TKE）ワークステーションはSystem zのオプション機構で、豊富なセキュリティーを持った鍵管理システムを提供します。このシステムは、鍵の識別、交換、分離、更新、および管理方法を権限保持者に提供します。

TKE 4.2ワークステーションに接続するスマート・カード・リーダー（オプション）に対するサポートにより、スマート・カードが使用可能になります。このカードは、サイズと形状ともにクレジット・カードに似ていますが、組み込みのマイクロプロセッサーおよびデータ・ストレージ用の関連メモリーが入っています。スマート・カード上の機密データへのアクセスと使用は、ユーザー定義の暗証番号（PIN）で保護されています。

上に戻る

RACF（リソース・アクセス管理機能）は、25年以上前にIBMが開発し、リソースへの内部的/外部的アクセスに役立つ重要な要素になっています。RACFは、システム上で稼働するオペレーティング・システムとアプリケーションの両方に対して、集中化されたセキュリティー機能（ユーザーの識別と認証、リソース・アクセス制御、および監査）を提供します。識別と認証テクノロジーは、どのような形式であろうとも、System z オペレーティング・システムの複数コンポーネント内でインプリメントされており、複数のセキュリティー・テクノロジーが使われています。また、デジタル証明書も、あるユーザー、リソース、またはサーバーを、別のユーザー、リソース、またはサーバーに対して識別および認証するのに使用でき、これは、信頼のおける第三者機関同志のセキュアなコミュニケーションに対して暗号鍵の生成を基本として行います。X.509 バージョン 3 デジタル証明書（関連するPublic Key Infrastructure（PKI）および Kerberos を使用）は、頻繁に使われる最近の信頼のおける第三者機関の識別と認証技術の2つの例です。Secure Sockets Layer（SSL）にはいくつかの特徴があり、オンデマンド・アプリケーションがその特徴を 使って、一般的なインターネット・ブラウザー・ソフトウェア経由で多数のユーザーと通信します。SSLは、現在、多種多様なセキュアe-businessアプリケーションにおいて暗号化の単一の最重要ユーザーを意味し、セキュアなe-commerceをサポートする上でキー・テクノロジーの地位を保っています。SSLは、TCP/IPソケット・インターフェースに対する公開鍵暗号方式の拡張です。System z9の導入により、それを正しく構成すると、PCI-Xアダプターをアクセラレーターとして構成した場合にオプションのCrypto Express2機構はSSLを大幅に加速可能です。

• Resource Access Control Facility（RACF） （US）
• Public Key Infrastructure Services for z/OS （US）

上に戻る

RACFは監査員にいくつかのユーティリティーを提供します。このユーティリティーは、データの分析と削減を取り扱って、ユーザーがその会社のセキュリティー・ポリシーを順守しているかどうかを確認します。RACFを使用して、監査ストリームへの記録対象となるセキュリティー関連イベント、およびそのイベント情報の削減と分析方法を、複数のやり方で指定します。IBMの長年のメインフレームに対する先進的セキュリティー・ソリューション実現の意向を継続して、現在Vanguard Integrity Professionals社と協力して、セキュリティーの管理、レポーティング、監査、および RACFへの侵入検出のための包括的なツール・セットをお客様に提供します。

上に戻る

PKIサービス（現在、IdenTrust社が認証）により、お客様はPublic Key Infrastructure（PKI）を確立し、社内外のユーザーに対して認証局として機能します。この場合に、お客様企業で定義済みのセキュリティー・ポリシーに準拠できるデジタル証明書を発行および管理します。ユーザーがPKIサービスを使用してWebブラウザー経由で証明書の要求と入手を行える方法の詳細を見つけます。一方では、許可されたPKI管理者はWebブラウザー経由のこれらの要求を承認、変更、または拒否します。PKIサービスにより、第三者の認証局を使用してそのデジタル証明書の発行と管理を行っている企業に対して大幅な節約を行うことができます。

上に戻る

LDAPプロトコルは、RACF提供のネイティブなセキュリティー・サービスを分散セキュリティー機能（クロスプラットフォームのアプリケーションとサービスにより提供）に拡張して、業界標準のアクセス・メカニズムをLDAPサーバーに提供します。RACFレジストリーはRACFユーザーとグループ用のディレクトリーです。LDAPのz/OSインプリメンテーションの設計により、RACFを補完し、RACFと相互運用できるようにします。これにより、従来の集中化コンピューティング・モデル（RACF がサポート）を新生の分散コンピューティング・モデル（WebSphere経由のEnterprise JavaBeans（EJB）環境モデルなど）に統合化する支援を行います。

上に戻る

z/OS Communications Serverは、System z 上でネットワーキングと通信セキュリティー（SNAとIPネットワークの両方の上でアプリケーションにアクセスするサービスなど）を提供します。z/OS Communications Serverの設計により以下を保護します。

• 暗号化（IP セキュリティー、SSLおよびSNAセッション・レベルの暗号化）に基づくセキュア・プロトコルを使用したネットワーク内のデータの保護
• 標準のRACFサービスを使用して無許可アクセスからのシステム・リソースとデータの保護
• ネットワークからシステムを保護 （例えば、ホーム・ページに接続できないようにする）

Communication Server for Linux on zSeriesは、独立したプロトコル・ネットワーキングに門戸を開放しています。これを行うには、多種多様なネットワークの接続およびコミュニケーション・ワークロードの統合化を行います。

• z/OS Communications Server （US）
• Communications Server for Linux on zSeries （US）

上に戻る

Common Criteria Security Certificationは、ミッション・クリティカル・アプリケーションを稼働するハードウェアとソフトウェアであると認めた印として、IT専門家、政府関連機関、およびお客様の間では広く認められています。Common Criteria（CC）は、国際的に認められたISO規格（ISO/IEC15408）であり、連邦政府とその他の組織がテクノロジー製品のセキュリティー評価と保証に使用します。今では、z9 EC と z9 BCがその論理区画（LPAR）テクノロジーのセキュリティーに対するEAL5認定を達成して、このエリート・グループに参加済みです。IBM PCI-X 暗号コプロセッサー（PCIXCC）もまた、最高レベルの連邦情報処理標準（FIPS）140-2認定を受領済みです。

2005年6月9日にIBMはPCIX暗号コプロセッサー・セキュリティー・モジュールを発表し、このモジュールは、米国とカナダ政府から商用のセキュリティーに対する最高の認定を受けました（連邦情報処理標準（FIPS）140-2 レベル4（US））。インターネット・トランザクションのセキュリティーにとって不可欠な暗号化は、いくつかのセキュリティー・エレメント（System zプロセッサー上でのユーザー識別と認証）をサポートしているコア・テクノロジーです。

上に戻る

PKI Services for z/OS V1R5 は、Identrus 3.1 仕様レベルで 認証局ソフトウェアに対してIdenTrust準拠であることを認定されました。IdenTrust準拠プログラムは、PKIサービスがIdenTrust仕様と相互運用性要件（金融機関とそのお客様の間の信頼に対して確固たる基盤を提供する要件）を満足しているかどうかを認定するものです。IdenTrustシステムは全世界的な信頼ネットワークであり、各種規格を提供する以外に、業界全体にわたってe-commerceリスクを緩和する信用と支払関連サービスを可能にするのに必要な技術基準を提供するように設計されています。

上に戻る