暗号化キーを管理および保護する方法

問題

暗号化キーを管理および保護する方法

解決策

Backup Exec は、新しい暗号化キーが作成または削除されるたびに、暗号化キーの一部の情報を CSV ファイルにダンプし自動的にバックアップします。この CSV ファイルは、Backup Exec の Data フォルダに作成されます。

たとえば、Backup Exec が "C:\Program Files\Veritas\Backup Exec" にインストールされている場合は、Data フォルダは "C:\Program Files\Veritas\Backup Exec\Data" にあります。

CSV ファイル名は、次の形式で作成されます。

EncryptionKeys-<Backup Exec メディアサーバー名>.csv

暗号化キーの変更 (追加または削除) ごとに、Backup Exec で使用されている暗号化キーの情報が CSV ファイルにダンプされ、自動的にバックアップが作成されます。このファイルには機密情報は含まれておらず、ディザスタリカバリや Backup Exec に問題が発生した場合に、Backup Exec 管理者がキーを再作成するために使用できる情報のみが含まれています。

CSV ファイルには、以下の形式のデータが含まれています (以下の例はあくまで参考です)

SchemaVersion,ProductVersion,MachineName,Name,Type,SaltLength,SaltValue,Restricted
"1.0.0","21.0.1200.2243","MediaServer1","Key1","256-bit AES (PBKDF2)","24","000236ADBF9BB1EB2AEAB296BC3BC8B34243816016E8E56E","No"
"1.0.0","21.0.1200.2243","MediaServer2","Hello128","128-bit AES","16","27F7198AA72B41565F0B293797730388","Yes"

保存されるデータには、次の情報が含まれています。

1. SchemaVersion - スキーマバージョン。
2. ProductVersion - Backup Exec の製品バージョン。 例: 21.0.xxxx.xxxx
3. MachineName - Backup Exec メディアサーバー名。
4. Name – 暗号化キーを作成したときに入力した暗号化キーの名前。
5. Type – 暗号化の種類。例: 128-bit AES、256-bit AES (SHA-2)、256-bit AES (PBKDF2)
6. SaltLength – 暗号化キーに対して追加されたソルトの長さ。ソルトは Backup Exec が暗号化キー毎にランダムに追加する値です。これにより、一意の暗号化キーが使用されます。
7. Salt – 暗号化キーに対して追加された実際のソルトの値。デバイスやジョブで使用された特定のキーを再作成するために非常に重要です。暗号化の種類が PBKDF2 の暗号化キーを再作成する場合は、この値を正確にコピーペーストします。
8. Restricted – 暗号化キーが所有者(作成者)専用か、他のユーザーまたはクラウド重複排除などのデバイスソフトウェアが使用可能かを示します。

Backup Exec の暗号化キー管理画面 (図1)

この画面は、Backup Exec アイコンから [構成と設定] [Backup Exec の設定] [ネットワークとセキュリティ] [データの暗号化] 枠の [キーを管理] をクリックし表示できます。

この画面には、Backup Exec に存在するすべてのキーが表示されます。新しいキーを作成したり、どこにも使用されていない既存のキーを削除したりできます。必要なときにいつでも、一部のキーを別のキーに置き換えることができます。キーを作成/削除するたびに、存在する暗号化キーの情報が CSV ファイルにダンプされます。

図1.

csv ファイルを別のサーバーまたはネットワークの場所にコピーすることをお勧めします。これは、ディザスタリカバリの場合、または特定のキーを再作成する必要がある場合に使用できます。