暗号化キーの管理
- Last Updated: November 21, 2024
- 8 minute read
組織固有またはシステム-組織のキーの管理とローテーション ([ORGS (組織)] タブ [<org-or-system> (<組織またはシステム>)] - [Security Information (セキュリティ情報)] - [Encryption Keys (暗号化キー)])。この機能は、最初にデータを暗号化するために使用されたキーを置き換え、新しい暗号化を (組織ごとに) 適用します。
セキュリティの追加措置としてキーのローテーション機能を使用すると、組織のパスフレーズ (およびパスフレーズから派生するキー) の更新 (オンデマンドまたは予定どおり) や、保存中のファイルストアの再暗号化を行うことができます。新しいキーを使用したファイルの再暗号化作業が完了すると、MOVEit Transfer から E メールで通知されます。
キーローテーションダッシュボードを使用すると、以下を行うことができます。
- 今すぐ再暗号化、定期的、または適切なスケジュールの適用。
- 完了までの時間の推定に関するサポートを受ける。
- 変換プロセスの一時停止または再開。
- 組織またはシステム全体の暗号化キーローテーションの履歴の表示。
- ローテーションの一時停止または保留中のローテーションに関するリマインダーの取得。
- 完了したローテーションに関するアラートとレポートの取得。
組織およびシステム-組織のキーローテーションガイド
キーローテーション機能の手順に従って、新しい暗号化キーの適用を行います。完了までの時間の概要が返されるため、再暗号化プロセスを開始するのに最適な期間を判断することができます。再暗号化作業が完了すると、MOVEit Transfer から E メールで通知されます。
キーローテーションガイド (表示は完了までの時間)
組織キー、システム-組織キー (または両方) をローテーションさせる
セキュリティを強化するために、定期的にまたはサイトの条件に応じて、キーをローテーションできます。キーのローテーション機能を使用すると、保存中のファイルストアの暗号化に使用するパスフレーズと派生キーを更新できます。
これらの設定を適用するには、SysAdmin としてサインオンしている必要があります。
暗号化の範囲... |
WebUI 内の場所... |
暗号化の対象... |
|---|---|---|
ライセンスを受けた組織 |
[ORGS (組織)] > [<org-name> (<組織名>)] - [Security Information (セキュリティ情報)] - [Encryption Keys (暗号化キー)] |
特定の MOVEit Transfer 組織関連付けられているユーザーおよびファイル情報 |
システム組織 |
[ORGS (組織)] > [System (システム)] - [Security Information (セキュリティ情報)] - [Encryption Keys (暗号化キー)] |
MOVEit Transfer によって使用されるシステムレベルのデータ。 |
[<org-name> (<組織名>)]適用された暗号化キーの履歴を表示する
暗号化キーの履歴には、組織キー管理ページからアクセスできます (表示は組織の暗号化)
事前チェック: [Begin (開始)] をクリックして、完了までの時間の推定を行う
暗号化キーローテーションは、時間の推定から始まります
|
今すぐ実行、後でスケジュール、いつでも一時停止/再開
処理中にキーローテーションを一時停止し、後で都合のよいときに再開できます。たとえば、MOVEit Transfer を実行しているホストシステムは、キー変換が進行している間、CPU リソースの通常のシェアよりも多くのシェアを使用します。この機能を使用すると、ダウンロードのピーク期間中などの処理を一時停止し、ユーザーがシステムレイテンシを認識しないように、ビジー期間が終了してから再開することができます (この目的でスケジュール機能を使用することもできます)。
一時停止/再開
|
スケジュールに従ってキーをローテーションさせる
MOVEit Transfer システムが最もビジーになる期間を確実に予測することができる場合は、キーローテーションスケジュール機能を使用して、非ピーク期間をファイルの再暗号化に割り当てることができます。
定期的にローテーションさせるまたは非ピーク時間にスケジュールする
|
|
保存中のデータの暗号化キーをローテーションさせるには
SysAdmin として、MOVEit Transfer システムおよび組織固有のデータファイルの新たに暗号化されたファイルストアへの変換に使用された暗号化シードまたは「キー」を更新できます。
次の表は、組織固有またはシステム-組織のデータに新しい暗号化キーを適用するために必要な手順を示しています。
手順 |
アクション... |
説明 |
|---|---|---|
1. |
[Begin Key Rotation Process (キーローテーションプロセスを開始する)] をクリックします |
新しいキーを使用した組織データの再暗号化の完了にかかる時間を推定したオンラインガイドを開きます。 |
2. |
推定 |
推定を確認します。次に、
注: 推定時間が長い場合は、非ピーク期間中にローテーションを起動することをお勧めします。 |
3. |
パスフレーズの作成 |
[Continue (続行)] をクリックして、推定を受け入れ、パスフレーズを適用します。 注: パスフレーズは必ず書き留めて保護してください。 |
4. |
[Start Now (今すぐ開始)] をクリックして、新しいパスフレーズを使用してデータを再暗号化します。 - または - [Edit/Enable Schedule (スケジュールを編集する/有効にする)] |
[Run now (今すぐ実行)] (いつでも一時停止できます) - または - 再暗号化とキー変換に関連する CPU 使用率の増加が最適な期間を選択してスケジュールします。 |
5. |
通知を待ちます。 |
完了通知は、SysAdmin で設定された E メールを介して送信されます。 |
次の手順... |
|
キーローテーションを実行する
このプロセスにより、組織の保存中のデータの暗号化の推定および更新を行うことができます。
- [Begin Process (プロセスを開始する)] をクリックします。
影響を受けるデータ量とファイル数の推定時間と概要が MOVEit Transfer により返されます。この手順を複数回実行できます。
- [続行] をクリックします。次に、パスコードを受け入れるか入力します。 注: パスコードはマスターキーであり、暗号化キーの派生に使用されます。パスコードは必ず書き留めて保護してください。
- 今すぐ開始します。[Start Now (今すぐ開始)] をクリックして、新しいシードキーおよび派生キーを使用して組織のファイルおよびデータの再暗号化プロセスを開始します (プロセスが完了すると、E メールが送信されます)。
暗号化キーのパフォーマンスに関する注意点
運用作業中、MOVEit Transfer サーバーにおける暗号化パフォーマンス要求は、CPU パフォーマンスに対して当然低くなります。つまり、ファイルストアに追加する項目は、オンデマンド形式で暗号化されます。ただし、長い期間をかけて数百または数千のファイルで構築された MOVEit Transfer ファイルストアを再暗号化する場合、この大量のバッチ暗号化は、CPU の負荷を場合によっては数時間以上増加させます。適切なスケジュール設定、スケールアウト、および MOVEit Transfer との対話時にレイテンシを認識する可能性のあるユーザーに通知することにより、システムの認識されるレイテンシを軽減できます。
Web ファームの展開に関する注意点
MOVEit Transfer Web ファームの保存中のキーローテーションは、シングルノードキー管理と同様に機能します。
次のような主な違いがいくつかあります。
- 「プライマリ」ノードのみ (推定とキー変換を起動した場合) が、キー変換プロセスを制御します。
- キー変換の進行状況は、任意の Web ファームノードから追跡できます。