データを暗号化するときにデータの完全な安全性を確保する

データを暗号化するときには、まず、次の基本的な規則を守ることが重要です。

最終的に暗号化される情報をハードディスク(またはその他の媒体)にクリアテキストの形式で書き込まないこと。

既存のクリアテキストデータを暗号化対象としてマークすれば、そのデータは暗号化されますが、既存のクリアテキストデータは、DIBが存在するハードディスクのどこかに残る可能性があります。

次の操作を実行しようとすると、データベース内のどこかのブロックにデータのクリアテキスト部分が残ります。

以下のセクションでは、データを暗号化するときのシナリオを想定し、暗号化データの完全な安全性を確保する手順を説明します。


完全に新しい設定でデータを暗号化する

新しい設定では、オペレーティングシステムをインストールしただけの状態でeDirectoryをインストールします。したがって、DIBが存在するハードディスク上にクリアテキストデータが存在しないことが保証されます。

eDirectory内の暗号化データの完全な安全性を確保するには、次の手順を実行します。

  1. どの属性をどの方式で暗号化するかをあらかじめ決めておきます。

    つまり、データをクリアテキスト形式でeDirectoryにアップロードする前に、暗号化する属性を決めておく必要があります。

    警告:  いったんデータをクリアテキスト形式でeDirectoryにロードしたら、属性を暗号化対象としてマークしないでください。そうすることもできますが、その場合はセキュリティの問題が発生します。

  2. eDirectoryを設定し、属性に適用する暗号化方式を設定します。

  3. 既存のデータを新しいサーバにロードします。

    LDIFファイルからバルクロードすることと他のサーバから複製するという2つがよくあるシナリオです。バルクロードするときは、クリアテキストのLDIFファイルをDIBが存在するハードディスクにコピーしないでください。クリアテキストデータをディスクに書き込んではいけないという規則を思い出してください。

  4. 既存のすべてのクリアテキストデータを破壊します。

    クリアテキストデータが格納されているディスク(またはその他の媒体)を完全に消去してください。消去する対象には、サーバのバルクロードに使われたクリアテキストのLDIFファイル、複製に使われた他のサーバ、古いバックアップが残っているテープなどが含まれます。


既存の設定でデータを暗号化する

このシナリオには次のような状況があります。


既存のクリアテキストデータを暗号化データに変換する

クリアテキストデータを暗号化対象としてマークし、以下の方法でデータの安全性を確保できます。

複製を利用する方法

  1. 新しいサーバで次のように暗号化を設定します。

    1. どの属性をどの方式で暗号化するかをあらかじめ決めておきます。

      つまり、データをクリアテキスト形式でeDirectoryにアップロードする前に、暗号化する属性を決めておく必要があります。

      警告:  いったんデータをクリアテキスト形式でeDirectoryにロードしたら、属性を暗号化対象としてマークしないでください。そうすることもできますが、その場合はセキュリティの問題が発生します。

    2. 新たにフォーマットされ、パーティションが作成されたディスクで、クリアインストール(場合によってはOSも含めて)を行います。

      これは、ディスクにクリアテキストデータが存在する可能性を排除するためです。つまり、以前クリアテキストデータが保存されていた既存のコンピュータにeDirectoryを再インストールすることはできません。ディスクからデータのすべての痕跡を完全に消去する必要があります。eDirectoryをインストールする前に、ディスクで安全な消去用ソフトウェアを使用する、磁気バルクイレーサーを使用するなど、データを徹底的に破壊する操作を行います。

    3. eDirectoryを設定し、属性に適用する暗号化方式を設定します。

  2. 暗号化する既存のデータが存在するレプリカリングにそのサーバを移動し、複製を実行した後、古いサーバをオフラインにします。

  3. 既存のすべてのクリアテキストデータを破壊します。

    クリアテキストデータが格納されているディスク(またはその他の媒体)を完全に消去してください。消去する対象には、サーバのバルクロードに使われたクリアテキストのLDIFファイル、複製に使われた他のサーバ、古いバックアップが残っているテープなどが含まれます。

バックアップおよび復元を利用する方法

  1. 新しいサーバで次のように暗号化を設定します。

    1. どの属性をどの方式で暗号化するかをあらかじめ決めておきます。

      つまり、データをクリアテキスト形式でeDirectoryにアップロードする前に、暗号化する属性を決めておく必要があります。

      警告:  いったんデータをクリアテキスト形式でeDirectoryにロードしたら、属性を暗号化対象としてマークしないでください。そうすることもできますが、その場合はNote Aで説明しているセキュリティの問題が発生します。

    2. 新たにフォーマットされ、パーティションが作成されたディスクで、クリアインストール(場合によってはOSも含めて)を行います。

      これは、ディスクにクリアテキストデータが存在する可能性を排除するためです。つまり、以前クリアテキストデータが保存されていた既存のコンピュータにeDirectoryを再インストールすることはできません。ディスクからデータのすべての痕跡を完全に消去する必要があります。eDirectoryをインストールする前に、ディスクで安全な消去用ソフトウェアを使用する、磁気バルクイレーサーを使用するなど、データを徹底的に破壊する操作を行います。

    3. eDirectoryを設定し、属性に適用する暗号化方式を設定します。

  2. 新しいサーバで、バックアップされたDIB(既存のクリアテキストデータが格納されている)を復元します。DIBクローンまたはホットバックアップを使ってDIBをバックアップできます。

  3. 既存のすべてのクリアテキストデータを破壊します。

    クリアテキストデータが格納されているディスク(またはその他の媒体)を完全に消去してください。消去する対象には、サーバのバルクロードに使われたクリアテキストのLDIFファイル、複製に使われた他のサーバ、古いバックアップが残っているテープなどが含まれます。


データの暗号化方式を変更する

バックアップと復元を利用してこの操作を行うには、次の手順を実行します。

  1. 属性の暗号化アルゴリズムを変更します。

  2. DIBのバックアップをとります。DIBクローンまたはホットバックアップを使ってDIBをバックアップできます。

  3. バックアップされたDIBを新しいサーバ上で復元し、古いサーバを削除します。

  4. 古いサーバ上にあるすべての既存のクリアテキストデータを破壊します。そうすることで、古い暗号化方式で暗号化されたデータの断片がハードディスクから一掃されます。

    クリアテキストデータが格納されているディスク(またはその他の媒体)を完全に消去してください。消去する対象には、サーバのバルクロードに使われたクリアテキストのLDIFファイル、複製に使われた他のサーバ、古いバックアップが残っているテープなどが含まれます。


まとめ

ここで説明したシナリオ以外にも、この問題が発生する状況はあり得ます。「最終的に暗号化される情報をハードディスク(またはその他の媒体)にクリアテキストの形式で書き込まない」という規則を守っている限り、暗号化データの完全な安全性が確保されます。