監査ログを暗号化すると、監査データを確実に保護することができます。
監査レコードを暗号化することにより、暗号化証明書にアクセスできるユーザーだけが監査ログを表示できるようになります。
始める前に
制約事項: 監査データの暗号化は、デフォルトの監査サービス・プロバイダーを使用して作成されたデータに対してのみ適用できます。SMF エミッターまたはサード・パーティーのエミッターを使用する場合は、データを暗号化することはできません。
セキュリティー監査レコードが暗号化されるように構成する前に、
ご使用の環境でグローバル・セキュリティーとセキュリティー監査を有効にしてください。セキュリティー監査レコードを暗号化するには、監査員ロールが割り当てられている必要があります。
security.xml ファイルに保管されている証明書を使用する場合は、このタスクを実行するための管理者ロールも必要になります。
手順
- とクリックします。
- 「暗号化を使用可能にする (Enable encryption)」チェック・ボックスを選択して、
監査レコードを暗号化するように指定します。 このパネルの他のフィールドはすべて、
このチェック・ボックスを選択してからでなければ使用できません。
- ドロップダウン・メニューから、暗号化証明書が保管されている鍵ストアを選択し、「新規作成」をクリックして既存の鍵ストア内に新規証明書を作成します。 新規証明書を作成する場合は、以下のステップを実行します。
- 「名前」フィールドに、鍵ストアの名前を入力します。
- 「パス」フィールドに、鍵ストア・ファイルへのパスを入力します。
- 「パスワード」フィールドに、鍵ストアと関連付けるパスワードを入力します。
- 「確認パスワード」フィールドにパスワードを再入力して、鍵ストアと関連付けるパスワードを確認します。
- 「タイプ」ドロップダウン・リストから鍵ストア・タイプを選択します。 「タイプ」ドロップダウン・リストのデフォルト値は PKCS12 です。
- 既存の証明書を使用して監査レコードを暗号化する場合は、「鍵ストアの証明書 (Certificate in keystore)」が選択されていることを確認し、「証明書別名」ドロップダウン・メニューで必要な証明書を指定します。
- 新しい証明書を生成して監査レコードを暗号化する場合は、「選択した鍵ストアに新規証明書を作成する (Create a new certificate in the selected keystore)」を選択して、以下のステップに従います。
- 「証明書別名」フィールドに、新しい証明書の名前を入力します。
- 「証明書を自動的に生成する (Automatically generate certificate)」か、「証明書をインポートする (Import a certificate)」のどちらかを選択します。 監査ログ・ファイルでデータの暗号化に使用する証明書は、作成することも、インポートすることもできます。証明書の生成を選択した場合は、
このページの最後のステップはスキップしてください。証明書のインポートを選択した場合は、ステップ c に進んでください。
- 「鍵ファイル名」フィールドに、鍵ストア・ファイルの名前を入力します。
- 「パス」フィールドに、鍵ストア・ファイルへのパスを入力します。
- 「タイプ」ドロップダウン・リストから鍵ストア・タイプを選択します。 「タイプ」ドロップダウン・リストのデフォルト値は PKCS12 です。
- 「鍵ファイル・パスワード (Key File password)」フィールドに鍵ストアと関連付けるパスワードを入力します。
- 「鍵ファイル別名の取得」をクリックして、
「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューを表示します。
- 「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューから、
インポートする証明書を選択します。
- 「OK」をクリックします。
タスクの結果
これらのステップを完了すると、監査ログが暗号化され、
許可されたユーザーのみが監査ログ・ファイルのコンテンツを見ることができるようになります。
次のタスク
これで監査ログが暗号化されるように構成されました。
監査ログのデータ保全性を確保するには、監査レコードに署名するように監査サブシステムを構成してください。