セキュリティー監査記録の暗号化

監査ログを暗号化すると、監査データを確実に保護することができます。 監査レコードを暗号化することにより、暗号化証明書にアクセスできるユーザーだけが監査ログを表示できるようになります。

始める前に

制約事項: 監査データの暗号化は、デフォルトの監査サービス・プロバイダーを使用して作成されたデータに対してのみ適用できます。SMF エミッターまたはサード・パーティーのエミッターを使用する場合は、データを暗号化することはできません。
セキュリティー監査レコードが暗号化されるように構成する前に、 ご使用の環境でグローバル・セキュリティーとセキュリティー監査を有効にしてください。セキュリティー監査レコードを暗号化するには、監査員ロールが割り当てられている必要があります。security.xml ファイルに保管されている証明書を使用する場合は、このタスクを実行するための管理者ロールも必要になります。

このタスクについて

手順

  1. 「セキュリティー」 > 「セキュリティー監査」 > 「監査レコードの暗号化の構成 (Audit record encryption configuration)」とクリックします。
  2. 「暗号化を使用可能にする (Enable encryption)」チェック・ボックスを選択して、 監査レコードを暗号化するように指定します。 このパネルの他のフィールドはすべて、 このチェック・ボックスを選択してからでなければ使用できません。
  3. ドロップダウン・メニューから、暗号化証明書が保管されている鍵ストアを選択し、「新規作成」をクリックして既存の鍵ストア内に新規証明書を作成します。 新規証明書を作成する場合は、以下のステップを実行します。
    1. 「名前」フィールドに、鍵ストアの名前を入力します。
    2. 「パス」フィールドに、鍵ストア・ファイルへのパスを入力します。
    3. 「パスワード」フィールドに、鍵ストアと関連付けるパスワードを入力します。
    4. 「確認パスワード」フィールドにパスワードを再入力して、鍵ストアと関連付けるパスワードを確認します。
    5. 「タイプ」ドロップダウン・リストから鍵ストア・タイプを選択します。 「タイプ」ドロップダウン・リストのデフォルト値は PKCS12 です。
  4. 既存の証明書を使用して監査レコードを暗号化する場合は、「鍵ストアの証明書 (Certificate in keystore)」が選択されていることを確認し、「証明書別名」ドロップダウン・メニューで必要な証明書を指定します。
  5. 新しい証明書を生成して監査レコードを暗号化する場合は、「選択した鍵ストアに新規証明書を作成する (Create a new certificate in the selected keystore)」を選択して、以下のステップに従います。
    1. 「証明書別名」フィールドに、新しい証明書の名前を入力します。
    2. 「証明書を自動的に生成する (Automatically generate certificate)」か、「証明書をインポートする (Import a certificate)」のどちらかを選択します。 監査ログ・ファイルでデータの暗号化に使用する証明書は、作成することも、インポートすることもできます。証明書の生成を選択した場合は、 このページの最後のステップはスキップしてください。証明書のインポートを選択した場合は、ステップ c に進んでください。
    3. 「鍵ファイル名」フィールドに、鍵ストア・ファイルの名前を入力します。
    4. 「パス」フィールドに、鍵ストア・ファイルへのパスを入力します。
    5. 「タイプ」ドロップダウン・リストから鍵ストア・タイプを選択します。 「タイプ」ドロップダウン・リストのデフォルト値は PKCS12 です。
    6. 「鍵ファイル・パスワード (Key File password)」フィールドに鍵ストアと関連付けるパスワードを入力します。
    7. 鍵ファイル別名の取得」をクリックして、 「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューを表示します。
    8. 「インポートする証明書別名 (Certificate alias to import)」ドロップダウン・メニューから、 インポートする証明書を選択します。
  6. OK」をクリックします。

タスクの結果

これらのステップを完了すると、監査ログが暗号化され、 許可されたユーザーのみが監査ログ・ファイルのコンテンツを見ることができるようになります。

次のタスク

これで監査ログが暗号化されるように構成されました。 監査ログのデータ保全性を確保するには、監査レコードに署名するように監査サブシステムを構成してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sa_audrecencrypt
ファイル名:tsec_sa_audrecencrypt.html