LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@gomAnomalocaris(Mikio Sasaki)inIBM

Redbook : IBM i 7.6 Features and Functions を読む Chapter.2-4 ASP1暗号化

Last updated at Posted at 2025-07-15

前の記事からの続きです

IBM i ASPとは?

IBM i LPARにアタッチした物理・論理のストレージボリュームをIBM i OSのレベルで束ねて1つの論理ボリュームとして操作するストレージの単位をASP(Auxiliary Storage Pool)と呼びます。

ASPにはシステムASP,ユーザーASP, IASPの3種があります。

IBM i 7.5以前のバージョンではユーザーASPの暗号化は可能でしたが、今回IBM i 7.6ではシステムASP(ASP1)の暗号化もサポートになりました。
ASP1はWindowsのCドライブと同様なOSのブートドライブとも言えますが、今回の拡張でOSを含むシステムのストレージ全体を暗号化できるようになりました。

ASP暗号化に必要なライセンスプログラムは 5770-SS1 Option 45 - Encrypted ASP Enablement です。(IBM i 7.6ではIBM i OS無償バンドルされ追加費用・追加オーダーは不要)

ASP1暗号化の目的

2.5.1章に記載がありました。以下引用。コンプライアンス関連の要件がある場合、その基準をクリアするための実装、と理解しました。

2.5.1 ASP1暗号化の概要
ASP1に保存されたデータを暗号化することで、GDPR、HIPAA、PCI DSSなどの規制における「保存データ」のコンプライアンス要件を満たすことができます。ASP1には、IBM iの中核となるオペレーティング・システム、その構成、ユーザー、セキュリティー設定、状態に加え、多数のユーザー・ライブラリー、DLO、IFSオブジェクトが格納されています。そのため、IBM iインスタンスはASP1内に完全に格納されるのが一般的です。ASP1を暗号化することで、データ・セキュリティーがさらに強化され、IBM iユーザーが規制コンプライアンスのニーズをより容易に満たせるようになります。

IBM i OSはそもそもセキュリティ堅牢だし不正アクセスしたところでデータ操作や読取りなんて不可能なので、ASP1の暗号化って意味ある・・?と思っていましたが、GDPRその他で対応が必要、、というお客様には必須機能とも言えそうです。

ASP1暗号化のオーバーヘッド

2.5.2 Overhead of ASP1 Encryptionには、(ASP1暗号化機能はOS S/Wレベルの暗号化なので)オーバーヘッドがあるので、パフォーマンスがより重要なシステムではストレージハードウェアでの暗号化も検討するのが良い、と書かれています。

また、一例として 執筆者のデータが掲載されています(下記)。

本稿の執筆時点では、ASP1 の暗号化によるオーバーヘッドに関する公式の数値は公開されていませんが、筆者によるテストでは、約 20% のオーバーヘッドが示されています。この数値は、読み取り操作と書き込み操作の比率が 80/20 の場合の典型的な加重平均であり、読み取りへの影響は書き込みよりもはるかに小さいと想定されています。このオーバーヘッドは、ASP1 を構成するストレージが内蔵ストレージか外付けストレージか、直接接続か仮想化かに関係なく、一定でした。
多くの IBM i 7.6 システムは、NVMe ベースの高速ストレージ(内蔵ストレージまたは IBM FlashSystem® などの外部 NVMe ベースデバイスに接続)を利用する新しいハードウェアプラットフォーム上で稼働します。従来の SAS 回転ディスク (HDD) または以前の世代のソリッド ステート ドライブ (SSD) から移行したユーザーは、ディスク サブシステムのパフォーマンスが向上し、ASP 暗号化の影響が軽減される可能性があります。

ASP1暗号化の手順(概要)

2.5.3 Preparation for ASP1 Encryption以降に具体的なサンプル画面付きで手順が示されています。すべて掲載できないので、概要手順だけ記載します。

準備として
1.5770-SS1 オプション45 - 暗号化ASP有効化を導入する
2.DST/SSTを使用可能なユーザープロファイルを準備(確認)する

以下のASP暗号化手順はシステム稼働中も実行可能だがピーク時などはパフォーマンス影響があるので避けることを推奨、また暗号化処理を途中で中止することも可能だがよほどの理由がない限り推奨しない旨の記述もあります。
一例として、ASP1暗号化実施中にIPLが必要になったとすると、いったんASP1暗号化をキャンセルして、その後にIPL実行が必要になる。ASP1暗号化のキャンセル(複合化: Decrypting)には時間がかかる旨の記載もあります。

操作手順は、
1.STRSSTでSST画面に入る
2.option 3, Work with disk Units を選択
3.option 2, Work with disk configuration を選択
4.option 11, Work with encryption を選択
5.option 4, Start encryption on ASPs を選択
6.Option 1 to start ASP Encryption を実行

image.png

7.ASP1暗号化を開始するには下記画面でエンターキーを押す
image.png
暗号化が開始されるとStatusがEncryptingになる。

ASP1の暗号化が完了したら速やかにシステムバックアップ(GO SAVE 21からシステム全体のバックアップ)取得を推奨

8.エンターキーを押すと5.の画面に戻る。最下部に暗号化が開始された旨メッセージが表示される。
image.png

9.ASP1暗号化状況をモニターするにはOption 1 - Display encryption
statusを選択する
image.png

ASP1暗号化が完了するとステータスがEncryptedに変更される
image.png

1
0
4

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?