Backup Exec で暗号化キーを作成、置換、または削除する方法

問題

Backup Exec で暗号化キーを作成、置換、または削除する方法

解決策

Backup Exec には、暗号化キーを使用してデータを暗号化する機能があります。バックアップ先ストレージ内のデータを暗号化することで、不正なアクセスからデータを保護します。

暗号化には、テープ装置でデータを暗号化するハードウェア暗号化と、Backup Exec でデータを暗号化するソフトウェア暗号化があります。

ハードウェア暗号化を使用すると、Backup Exec は暗号化していないデータをテープ装置に送ります。テープ装置はデータを暗号化し、テープメディア (テープカートリッジ) に書き込みます。

ソフトウェア暗号化を使用すると、Backup Exec はリモートエージェントが動作しているコンピュータでデータを暗号化し、暗号化されたデータを Backup Exec サーバーに送ります。その後、Backup Exec は暗号化されたデータをテープまたはディスクストレージに書き込みます。Backup Exec をインストールすると、インストールプログラムによって、Backup Exec サーバーとリモートエージェントを使用するリモートコンピュータに必要な暗号化ソフトウェアがインストールされます。

Backup Exec 22.1 から、暗号化せずにジョブを保存するとプロンプトメッセージが表示されます。(図1)

プロンプトメッセージ - 権限のないアクセスからバックアップデータを保護するため、暗号化を有効にすることをおすすめします。[暗号化キーの管理] をクリックして、暗号化を設定します。暗号化キーを作成すると、選択したキーがジョブに設定されます。

図1.

[暗号化キーの管理] をクリックし暗号化キーを選択すると、そのジョブで暗号化が有効になりデータが暗号化されます。

注意: Backup Exec 重複排除ストレージや OST デバイスを使用している場合は、データを適切に重複排除できなくなるので、ジョブレベルの暗号化を有効にしないでください。Backup Exec 重複排除ストレージの構成時に重複排除ストレージでの暗号化が有効になっていることを確認します。あるいは、OSTストレージ装置で暗号化が有効になっていることを確認します。そのほかの例外について、詳しくは 100013045 を参照してください。

Backup Exec は次の種類のデータを暗号化できます。

1) ファイルや Microsoft Exchange データベースなどのユーザーデータ

2) ファイル名、属性、オペレーティングシステム情報などのメタデータ

3) テープなどのメディア内に保存されたのカタログファイルとディレクトリ情報 (ストレージベースのカタログ)

Backup Exec は、Backup Exec のメタデータ、および Catalogs フォルダーに保存されているカタログファイルやディレクトリ情報を暗号化しません。

I. 暗号化キーの作成

Backup Exec 管理者は、すべてのバックアップジョブおよび複製ジョブで共通に使用する暗号化キーを作成できます。ジョブ毎に異なる暗号化キーを設定することも可能です。

管理者がバックアップセットの複製ジョブを実行した場合に、既に暗号化されているバックアップセットは再暗号化されません。暗号化されていないバックアップセットは複製ジョブに指定した暗号化キーで暗号化されます。

I-1. [Backup Exec ボタン] > [構成と設定] > [Backup Exec の設定] に移動します。

図2.

I-2. [ ネットワークとセキュリティ ] > [キーを管理] に移動します。

図3.

I-3. [新規] をクリックします。

図4.

I-4. 暗号化キーの追加画面にパスフレーズなどを入力します。

図5.

キー名: このキーの識別する一意の名前を入力します。名前には最大 256 文字を使用できます。

暗号化の種類: このキーで使用する暗号化方式を指定します。128 ビット AES または 256 ビット AES があります。256 ビット AES には、SHA-2 と PBKDF2 の 2 つがあります。いずれかを選択します。デフォルトの種類は 256 ビット AES (PBKDF2) です。

256 ビット AES は、128 ビット AES よりも高度なセキュリティを実現します。PBKDF2 は SHA-2 よりも高度なセキュリティを実現します。より高度な暗号化方式のほうが処理に時間がかかります。

パスフレーズ:  暗号化、複合化に使用するパスフレーズを指定します。128 ビット AES 暗号化の場合は、パスフレーズを 8 文字以上に設定する必要があります。256 ビット AES 暗号化の場合は、パスフレーズを 16 文字以上に設定する必要があります。

最小文字数よりも多い文字数を使用することをお勧めします。印刷可能な ASCII 文字のみを使用できます。

同一のパスフレーズを使用することにより暗号化キーを再作成できます。ただし、PBKDF2 暗号化キーを再作成する場合は、同一のパスフレーズに加えて、Salt 値が必要になります。

Salt 値は PBKDF2 暗号化キーを作成したときに生成されます。Salt 値の管理について、詳しくは 100053827 を参照してください。

パスフレーズの確認: パスフレーズを再入力します。

共用: このキーを共有キーにします。 キーが共用である場合、この Backup Exec のどのユーザーでも、このキーを使用してデータのバックアップおよびリストアを行うことができます。

所有者専用: このキーを所有者専用キーにします。 キーが所有者専用の場合でもこのキーを使用してデータをバックアップできます。 ただし、キーの所有者またはパスフレーズを知っているユーザーのみが、所有者専用キーで暗号化されたデータをリストアできます。(PBKDF2 暗号化キーを使用している場合は、パスフレーズに加えてSalt 値も必要です)

I-5. OKをクリックします。以下のように作成された暗号化キーを確認できます。

図6.

II. 暗号化キーの置き換え

バックアップジョブと複製ジョブについて、一括でジョブに指定されている暗号化キーを別の暗号化キーに置き換えることができます。

暗号化キーを置き換えるには、次の手順を実行します。

II-1. 置き換えが必要な既存のキーを選択し、[置換] を選択します。

図7.

II-2. [置換する暗号化キーを選択してください] ボックスで、次のいずれかの操作を行います。

既存のキーを使用するには、リストからキーを選択します。

新しいキーを作成するには、[新規] をクリックします。

図8.

II-3. キーを選択したら、[OK］をクリックします。

III. 暗号化キーの削除

暗号化キーを削除するときは注意が必要です。暗号化キーを削除すると、元のキーと同じ暗号化キーとパスフレーズ (および Salt 値) を使用する新しいキーを作成しない限り、そのキーで暗号化したバックアップセットを復元することはできません。

次の場合は、暗号化キーを削除できます。

1) テープ上の暗号化されたデータの有効期限が切れているか、テープが廃棄あるいは初期化されています。

2) テープ以外に保存されている暗号化されたデータの有効期限が切れていて失効/削除済みです。

3) 暗号化キーがジョブで使用されていません。キーが使用されている場合は、バックアップまたは複製ジョブに新しいキーを指定する必要があります。有効期限の切れたデータを参照しているリストアジョブまたは検証ジョブは予め削除します。

暗号化キーを削除するには、次の手順を実行します。

Ⅲ-1. 削除するキーを選択し、[削除]をクリックします。

図9.

Ⅲ-2. [はい] をクリックします。

図10.

Ⅲ-3. キーがバックアップジョブまたは複製ジョブで使用されている場合は、次の操作を行います。

a) [置換する暗号化キーを選択してください]  ボックスで、一覧から別のキーを選択します。あるいは新規にキーを作成し選択します。

b) [OK] をクリックします。

図11.