セキュリティー

PDFを見るにはAdobe® Reader®が必要です。 Adobe Reader

System zのビルディング・ブロック
Web トランザクションからお客様のデータ・プライバシーまで、IBMSystem zはビジネス・セキュリティー課題に対応するように設計されたソリューションを 提供します。以下には、System zセキュリティー・ソリューションにおけるキーとなるビルディング・ブロックの概要を記載してあります。

Encryption Facility for z/OS
Encryption Facility for z/OSV1.1(US)の発表(データの紛失、および過失または故意の漏えいを各企業が保護できるように設計された、ホスト・ベースの新しいソフトウェア・ソリューション)。
暗号化 (強力で広範囲に使用されるテクノロジー) が、現在 z/OSで強化されて、各企業が信頼されたパートナーと機密データを安全に共用できるようになります。 また、保存目的またはアーカイブ目的として磁気テープ上に暗号化データを格納することにより、Encryption Facility for z/OSは、安心して保管データに保護を拡大することもできます。 さらに、Encryption Facility for z/OSの設計により、既存の集中化された鍵管理を利用し、ICSF が提供する認証機能にアクセスします。 この最新の製品発表によって、メインフレームのお客様は、暗号コプロセッサーおよび アクセラレーターが提供する既存のハードウェア能力 (圧縮および卓越したパフォーマンス) の恩恵を受けることもできます。この暗号コプロセッサーおよびアクセラレーター(US)はさまざまな 暗号化ニーズに合わせて個々に構成可能です。

• IBMEncryption Facility について知り、設計し、お客様でインプリメントする。(US)
• Encryption Facility for z/OSに対する疑問を解き明かす(US) (739KB)

IBM暗号方式は業界トップのハードウェア格付けを保持しています。
? FIPS 140-2レベル 4

1991以来、System zに内蔵されたハードウェア暗号化機構は、提供するセキュリティー・レベルとパフォーマンスの両面で、常に業界のリーダーであり続けてきました。ハードウェアの暗号化装置の設計により、不正開封防止のセキュリティー境界が設けられて、金融アプリケーションのための要件を 満足させることができます。

CPACF (クリア鍵暗号化による対称暗号化の高パフォーマンスを実現) は、出荷された各 IBMSystem z9 ECとBC、z990と z890の中央処理装置およびIntegrated Facility for Linux(IFL)エンジンに搭載される標準機構です。 z9 Systemの発表により、CPACF が機能拡張されて 128 ビット鍵に対する Advanced Encryption Standard(AES)、Secure Hash Algorithm-256(SHA-256)、および Pseudo Random Number Generation(PRNG)をサポートするようになりました。 これらの暗号化機能が各 IBMSystem z9 EC中央処理装置(CP)またはIFLエンジンに 実装されているため、発揮される可能性のあるスループットは取り付けられた処理装置(PU) 数によって拡張性があります。

セキュア鍵暗号化に対するサポートが必要なお客様は、オプションのCrypto Express2機構が z890、z990および System z9 ECとBC上で使用可能です。柔軟性を実現するために Crypto Express2機構が 2つのPCI-X アダプターを提供し、これをコプロセッサー2つ、アクセラレーター2つ、または1つのコプロセッサーと 1 つのアクセラレーターの組み合わせとして構成可能です。このCrypto Express2機構は、コプロセッサーとして定義されていると、高度にセキュアな暗号機能、セキュアな暗号化鍵の値の使用、および User-Defined Extensions (UDX) をサポートします。このCrypto Express2機構は、アクセラレーターとして構成されていると、Secure Socket Layer (SSL) および潜在的にはTransport Layer Security (TLS) プロトコル (一般にはオンデマンド・ビジネス機能をサポート) に使用される複雑な RSA 暗号化演算のパフォーマンスを大幅に改善することができます。4 CP と両 PCI-X アダプター (アクセラレーターとして構成) 搭載のSystem z9 ECを使用した最近のテストでは、このCrypto Express2機構は最大 6000 SSLハンドシェーク数/秒を実現しました。この数字の意味は、1カード当たりのベースで計算すると約3 倍1のパフォーマンス改善を表しています (機構当たり2つのPCI アクセラレーター搭載のPCI Cryptographic Accelerator (PCICA) 機構、または機構当たり2つのPCI-X アダプター搭載の現行 Crypto Express2機構を使用時のz990と比較して)。暗号化は、System zプロセッサー上のセキュリティーに関する複数エレメントをサポートする、コア・テクノロジーです。これらのエレメントの1 つは、ユーザー識別および認証と呼ばれています。

スマート・カード・リーダー・サポート付きTKE4.2ワークステーション

4.2レベルのLicensed Internal Codeを搭載した Trusted Key Entry(TKE)ワークステーションはSystem zのオプション機構で、豊富なセキュリティーを持った鍵管理システムを提供します。 この鍵管理システムは、鍵の識別、交換、分離、更新、および管理方法を権限保持者に提供します。

TKE 4.2ワークステーションに接続するスマート・カード・リーダー (オプション) に対するサポートにより、スマート・カードが使用可能になります。このカードは、サイズと形状ともにクレジット・カードに似ていますが、組み込みのマイクロプロセッサーおよびデータ・ストレージ用の関連メモリーが入っています。スマート・カード上の機密データへのアクセスと使用は、ユーザー定義の暗証番号 (PIN) で保護されています。

ユーザーの識別と認証
RACF (リソース・アクセス管理機能)(US)は、25年以上前にIBMが開発し、リソースへの内部的/外部的アクセスに役立つ重要な要素になっています。 RACFは、システム上で稼働するオペレーティング・システムとアプリケーションの両方に対して、集中化されたセキュリティー機能 (ユーザーの識別と認証、リソース・アクセス制御、および監査) を提供します。識別と認証テクノロジーは、どのような形式であろうとも、System zオペレーティング・システムの複数コンポーネント内でインプリメントされており、複数のセキュリティー・テクノロジーが使われています。
また、デジタル証明書も、あるユーザー、リソース、またはサーバーを、別のユーザー、リソース、またはサーバーに対して識別および認証するのに使用でき、これは、信頼のおける第三者機関同志のセキュアなコミュニケーションに対して暗号鍵の生成を基本として 行います。X.509 バージョン 3 デジタル証明書 (関連する Public Key Infrastructure (PKI)(US)および Kerberos(US)を使用)は、頻繁に使われる最近の信頼のおける第三者機関の識別と認証技術の2つの例です。
Secure Sockets Layer(SSL) にはいくつかの特徴があり、オンデマンド・アプリケーションがその特徴を 使って、一般的なインターネット・ブラウザー・ソフトウェア経由で多数のユーザーと通信します。 SSLは、現在、多種多様なセキュアe-businessアプリケーションにおいて暗号化の単一の最重要ユーザーを意味し、セキュアなe-commerceをサポートする上でキー・テクノロジーの地位を保っています。SSLは、TCP/IP ソケット・インターフェースに対する公開鍵暗号方式の拡張です。System z9 の導入により、それを正しく構成すると、PCI-X アダプターをアクセラ レーターとして構成した場合にオプションのCrypto Express2機構はSSLを大幅に加速可能です。

• RACF および IBMHealth Checker は協力して正しい構成を確認します(US) (179KB)
• RACF管理のルック・アンド・フィールの改善(US) (268KB)

監査とロギング
RACF(US)は監査員にいくつかのユーティリティーを提供します。このユーティリティーは、データの分析と削減を取り扱って、ユーザーがその会社のセキュリティー・ポリシーを順守しているかどうかを確認します。RACF を使用して、監査ストリームへの記録対象となるセキュリティー関連イベント、およびそのイベント情報の削減と分析方法を、複数のやり方で指定します。IBMの長年のメインフレームに対する先進的セキュリティー・ソリューション実現の意向を継続して、現在 Vanguard Integrity Professionals 社と協力して、セキュリティーの管理、レポーティング、監査、および RACF への侵入検出のための包括的なツール・セットをお客様に提供します。

デジタル証明書のホスティング
PKI サービス(現在、IdenTrust 社が認証) により、お客様はPublic Key Infrastructure(US)を確立し、社内外のユーザーに対して認証局として機能します。この場合に、お客様企業で定義済みのセキュリティー・ポリシーに準拠できるデジタル証明書を発行および管理します。ユーザーが PKI サービスを使用して Web ブラウザー経由で証明書の要求と入手を行える方法の詳細を見つけます。一方では、許可された PKI 管理者はWeb ブラウザー経由のこれらの要求を承認、変更、または拒否します。PKI サービスにより、第三者の認証局を使用してそのデジタル証明書の発行と管理を行っている企業に対して大幅な節約を行うことができます。

ディレクトリー・サービス
LDAP プロトコルは、RACF 提供のネイティブなセキュリティー・サービスを分散セキュリティー機能 (クロスプラットフォームのアプリケーションとサービスにより提供) に拡張して、業界標準のアクセス・メカニズムを LDAP サーバーに提供します。RACF レジストリーはRACF ユーザーとグループ用のディレクトリーです。LDAP のz/OSインプリメンテーションの設計により、RACF を補完し、RACF と相互運用できるようにします。これにより、従来の集中化コンピューティング・モデル (RACF がサポート) を新生の分散コンピューティング・モデル (WebSphere 経由のEnterprise JavaBeans™ (EJB) 環境モデルなど) に統合化する支援を行います。
WAS環境でのLDAP認証は、WASのセルへの共用アクセスのための一層単純でセキュアな方法です(US) (221KB)

ネットワーキングと通信セキュリティー
z/OSCommunications Server(US)は、System z上でネットワーキングと通信セキュリティー (SNAとIPネットワークの両方の上でアプリケーションにアクセスするサービスなど)を提供します。z/OSCommunications Serverの設計により以下を保護します。

• 暗号化 (IP セキュリティー、SSL、および SNA セッション・レベルの暗号化) に基づくセキュア・プロトコルを使用したネットワーク内のデータの保護
• 標準のRACF サービスを使用して無許可アクセスからのシステム・リソースとデータの保護
• ネットワークからシステムを保護 (例えば、ホーム・ページに接続できないようにすること)

Communication Server for Linux on System z(US)
は、独立したプロトコル・ネットワーキングに門戸を開放しています。これを行うには、多種多様なネットワークの接続およびコミュニケーション・ワークロードの統合化を行います。

NSCA; AT-TLSとCS-IPSec構成を容易にする新規GUI(US) (1.58MB)

認定
Common Criteria Security Certification(US)は、ミッション・クリティカル・アプリケーションを稼働するハードウェアとソフトウェアであると認めた印として、IT専門家、政府関連機関、およびお客様の間では広く認められています。Common Criteria (CC) は、国際的に認められた ISO規格 (ISO/IEC15408) であり、連邦政府とその他の組織がテクノロジー製品のセキュリティー評価と保証に使用します。今では、z9ECとz9 BCがその論理区画 (LPAR)テクノロジーのセキュリティーに対するEAL5認定を達成して、このエリート・グループに参加済みです。IBMPCI-X 暗号コプロセッサー(PCIXCC)もまた、最高レベルの連邦情報処理標準(FIPS)140-2認定を受領済みです。現在のIBM製品の認定の詳細は、認定(US)を参照してください。

2005年6月9日にIBMはPCIX暗号コプロセッサー・セキュリティー・モジュールを発表し、このモジュールは、米国とカナダ政府から商用のセキュリティーに対する最高の認定を受賞しました? (連邦情報処理標準(FIPS)140-2レベル 4(US))。インターネット・トランザクションのセキュリティーにとって不可欠な暗号化は、いくつかのセキュリティー・エレメント (System zプロセッサー上でのユーザー識別と認証)をサポートしているコア・テクノロジーです。

IdenTrust 準拠
PKI Services for z/OSV1 R5は、Identrus 3.1仕様レベルで 認証局ソフトウェアに対してIdenTrust準拠(US)であることを認定されました。IdenTrust 準拠プログラムは、PKI サービスが IdenTrust 仕様と相互運用性要件 (金融機関とそのお客様の間の信頼に対して確固たる基盤を提供する要件) を満足しているかどうかを認定するものです。IdenTrust システムは全世界的な信頼ネットワークであり、各種規格を提供する以外に、業界全体にわたってe-commerce リスクを緩和する信用と支払関連サービスを可能にするのに必要な技術基準を提供するように設計されています。

1このSSL率は、4つのプロセッサーと2つのCrypto Express2カード(1つの機構で、両カードともにアクセラレーターとして構成) を搭載したSystem z9、および z/OSV1R7(Web配信可能なCryptographic Support for z/OSV1R6/V1R7 およびICSF FMID HCR7730搭載)を使って達成されました。 これらの測定は、研究所環境で達成された秒当たりの最大トランザクション量の例であり、このテスト時には他の処理は何も発生しておらず、お客様での実環境の測定結果を表していません。 この詳細は、要求ベースで入手可能です。

注: 以前にレポート済み SSLパフォーマンスの4995ハンドシェーク数/秒は4Way z990(4つのCrypto Express2コプロセッサー(CEX2C)機構搭載)上でテストされたものです。そのためこのケースでは、そのパフォーマンスは4Way zSystem 9(両方共にアクセラレーターとして構成されたCrypto Express2機構搭載)上で測定されたものです。この結果から推定されることは、16Way zSystem 9(6個のCrypto Express2機構搭載)でのSSLパフォーマンスは、z990上で得られたテスト結果よりも大きな数値になったものと考えられますが、実際の測定は行いませんでした。