ストレージ・ハードウェア暗号化

Cloud Pak for Data System は、主ストレージ・メディアとして SSD ディスクを使用します。これらのディスク・ドライブは、システムに格納されたデータのセキュリティーと保護が強化される、自己暗号化ドライブ (SED) です。

自己暗号化ドライブは、データをディスクに書き込みながらデータを暗号化します。各ディスクにはディスク暗号鍵 (DEK) があり、これは工場で設定されて、ディスクに保管されます。 ディスクは DEK を使用して、データを書き込むときに暗号化し、ディスクから読み取るときに復号します。 ディスクの動作、暗号化および復号は、データを読み取ったり書き込んだりするユーザーには透過的です。 この暗号化および復号のデフォルトのモードを、完全消去モード と呼びます。完全消去モードでは、データを復号して読み取るための認証鍵やパスワードは必要ありません。 SED は、ディスクを再利用する必要がある場合や、サポートまたは保証の理由でディスクを返却する必要がある場合に、簡単かつ迅速に完全消去することができる優れた機能を発揮します。

ディスクに保管されたデータのセキュリティーを最適化するために、SED には自動ロック・モード と呼ぶモードもあります。自動ロック・モードでは、ディスクは認証暗号鍵 (AEK) を使用してディスクの DEK を保護します。 電源がオフになると、ディスクは自動的にロックされます。 ディスクの電源がオンになると、SED は、ディスクのロックを解除して読み取り/書き込み操作を開始するために、有効な AEK を使用して DEK を読み取る必要があります。 有効な認証鍵を SED が受け取らなければ、ディスク上のデータを読み取ることができません。 自動ロック・モードは、ディスクが偶然または意図的にシステムから取り外された場合に、データを保護するのに役立ちます。

多くの環境では、通常の運用には完全消去モードで十分です。このモードでは、保守や再利用のための作業の前にディスクの内容を迅速かつ完全に消去できるコマンドを、簡単に利用できます。 データ盗難に対する保護が最優先の環境では、自動ロック・モードを使用して、ディスクに保管されたデータに対するアクセス保護レイヤーを追加できます。

Cloud Pak for Data System での使用を認定された SED モデルは、ディスクで使用する暗号化ルーチンに関して、FIPS 140-2 の要件を満たしています。 ap hw -detail コマンドは、NIST ベンダー・リストで参照できるディスク・モデル情報を提供します。 NIST ベンダー・リストについて詳しくは、http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm を参照してください。