オルタナティブ・ブログ > 吉政忠志のベンチャービジネス千里眼 >

IT業界でベンチャービジネスの支援をしている執筆者が日々の活動ログと感じたことを、徒然なるままに書き綴っていきます。

SED(自己暗号化ディスク)のメカニズムとは

»

皆さん、こんばんは。吉政創成の吉政でございます。

弊社のお客様であるTID様がメールマガジンを発行されました。その中でSED(自己暗号化ドライブ)を解説したコラムがありましたので、ご紹介します。

SEDはHDDに書き込む際に暗号化を行う仕組みです。通常の暗号化用のソリューションは別途専用のハードが必要であるため、パフォーマンズ劣化が課題でした。それゆえに大規模な暗号化されたシステムを構築しようと思った場合、コストがかさむことも課題でした。

その点、SEDですと暗号化時にパフォーマンス劣化が起こらず、別途サーバを立てる必要もないためコスト的に大きく差別化ができるというものです。

以下でご紹介するコラムでは同社の国内初の専用SEDストレージ「MassCareRAID SED」をベースに書いています。

では、コラムを紹介します。

【第五回】SEDとは? ~基礎技術編~
────────────────────────────────────
さて今回は「MassCareRAID SED」のご紹介をさせて頂くと、決まってと言って良いほど詳しい説明を求められる『SED:Self Encrypting Drives(自己暗号化ドライブ)』について、少し突っ込んでご説明をさせて頂きます。(既に説明を受けている方はすいません。。。)
SEDはその名の通り、ハードディスクの中に暗号化チップと暗号化キーを内蔵することで、ハードディスク自身で暗号化/複合化の処理を行います。この時の暗号化アルゴリズムはAES-128bitで、暗号化キーの変更は可能ですが、自動生成され、キーを確認することはできません。しかし暗号化だけでなく、復号化も自身でしてしまうので、普通に使っていては他のシステムに接続しても記録されているデータが見えてしまうので、暗号化の恩恵を受けることはほとんどありません。

そこで用意されているのが「Auto Lock Mode」です。

Auto Lock Modeを利用すると、RAIDコントローラーに設定した認証(SED)キー(AES-256bit)によりSEDの暗号化キーを暗号化してSED内に保存します。また、ハッシュ化された認証キーをSED内に保存しておき、システム起動時にはこのハッシュ値とRAIDコントローラーの認証キーを比較し整合性を確認します。ここで確認が取れないと、そのRAIDコントローラーが管理するSEDではないと判断され、ロック状態となり、使用することができなくなるわけです。
※この時、元のRAIDコントローラーの認証キーを入力すれば、SEDの利用ができる状態となりますので、メンテナンス時も問題ありません。

因みにAuto Lock Modeを設定しているSEDを、SED非対応のRAIDコントローラーに接続すると、デバイスとしてさえも認識ができないといった状態になります。
つまり、SEDとそれに対応したRAIDコントローラー、そのRAIDコントローラーに設定した認証キーの全てが揃わなければ、データの読み出しはできないと言う訳です。
さてSEDのもう一つの特徴的な機能が「Instant Secure Erase」ですが、こちらは日々というよりは、運用の中でお使い頂くような機能になります。前述したように、SED内の暗号化キーはいつでも変更することが可能です。しかし、変更してしまえば、当然のことながら変更前の暗号化キーで暗号化されたデータは読み取ることができなくなります。しかも、暗号化キーの解読もできませんので、元々書かれていたデータは、一生読み出せなくなるわけです。

この特性を利用して、SED内のデータを一瞬にして消去状態にしてしまうのが、Instant Secure Erase機能です。Instant Secure EraseをONにすると、暗号化キーが自動で変更され、SED自体は完全にリフレッシュされた状態となります。これまで物理破壊や論理破壊、上書き処理といった手間やコストが掛かっていたデータ消去を、一瞬にして実現します。これらはいずれもSED自体が持っている機能で、その機能を利用できる状態にしているのがSEDに対応したRAIDコントローラー、弊社のMassCareRAID SEDということです。
また、これまではハードディスクメーカーでも1社しかこのSEDをリリースしていませんでしたが、今後、他のメーカーからもSEDのリリースが予定されており、より一般的になってくるのではないかと思います。

時代を先取りしたい方は、是非、MassCareRAID SEDをお試しください!(本柳)

***

今回のブログはここまですが、メールマガジンの本文を読まれたい方は下記をクリックしてください。
tid005.pdfをダウンロード

また、第6回目以降メールマガジンをお読みになりたい方は、下記のお問い合わせフォームからお申し込みください。メールマガジンは月に一回ほど発行されます。
https://ssl.tid-solution.com/mcr/tidphplib/template/mcrform.html

Comment(0)