NetBackup ™ セキュリティおよび暗号化ガイド

Last Published:
Product(s): NetBackup & Alta Data Protection (11.0)
  1. NetBackup での安全な通信 (最初にお読みください)
    1.  
      NetBackup での安全な通信について
    2.  
      インストール時に NetBackup CA が署名した証明書 (またはホスト ID ベースの証明書) を配備する方法
    3.  
      プライマリサーバーのクラスタノードでの安全な通信の方法
    4.  
      クラスタ化されたアプリケーションのノードにインストールされた NetBackup クライアントについて
    5.  
      アップグレード時に NetBackup 証明書をホストに配備する方法
    6.  
      証明書配備中に認証トークンが必要である場合
    7.  
      ホスト名 (または IP アドレス) をホスト ID にマップする理由
    8.  
      ホスト属性またはホストの通信状態をリセットする方法
    9.  
      カタログリカバリの変更点
    10.  
      自動イメージレプリケーションでの変更点
    11.  
      無効化された証明書を使用するホストの動作
    12.  
      NetBackup 証明書のバックアップについて
    13.  
      プライマリサーバーに対する外部証明書の構成
    14.  
      外部証明書を使用するプライマリサーバーのクラスタノードでの安全な通信の方法
    15.  
      外部証明書の失効リストの仕組み
    16.  
      ホストがプライマリサーバーに直接接続できないときの通信の動作
    17.  
      NetBackup 8.1 のホストが NetBackup 8.0 以前のホストと通信する方法
    18.  
      クラウド構成でのレガシーメディアサーバーとの通信方法
    19. 通信エラーのシナリオ
      1.  
        8.0 以前のホストとの通信中のエラー
      2.  
        カタログバックアップのエラー
    20.  
      NetBackup ドメイン内の他のホストに対する安全な通信のサポート
    21.  
      BMR の安全な通信のサポート
    22.  
      SQL Server を保護する VMware のバックアップと複数の NIC を使用する SQL Server でのバックアップの構成
  2. NetBackup セキュリティの強化
    1.  
      NetBackup セキュリティおよび暗号化について
    2.  
      NetBackup セキュリティの実装レベル
    3.  
      世界レベルのセキュリティ
    4.  
      企業レベルのセキュリティ
    5.  
      データセンターレベルのセキュリティの概要
    6.  
      NetBackup アクセス制御 (NBAC)
    7.  
      世界レベル、企業レベルおよびデータセンターレベルの統合
    8.  
      NetBackup セキュリティの実装形式
    9.  
      オペレーティングシステムのセキュリティ
    10.  
      NetBackup セキュリティの脆弱性
    11.  
      NetBackup の標準セキュリティ
    12.  
      クライアント側の暗号化セキュリティ
    13.  
      プライマリ、メディアサーバー、およびグラフィカルユーザーインターフェースのセキュリティ上の NBAC
    14.  
      すべてに NBAC を使用したセキュリティ
  3. セキュリティの配置モデル
    1.  
      ワークグループ
    2.  
      単一のデータセンター
    3.  
      複数のデータセンター
    4.  
      NetBackup を使用するワークグループ
    5.  
      標準の NetBackup を使用する単一のデータセンター
    6.  
      クライアント側の暗号化を使用する単一のデータセンター
    7.  
      プライマリサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
    8.  
      すべてに NBAC を使用する単一のデータセンター
    9.  
      標準的な NetBackup を使用する複数のデータセンター
    10.  
      クライアント側の暗号化を使用する複数のデータセンター
    11.  
      プライマリサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
    12.  
      すべてに NBAC を使用する複数のデータセンター
  4. NetBackup 操作の監査
    1.  
      NetBackup の監査について
    2.  
      現在の監査設定の表示
    3. 監査イベントについて
      1.  
        監査イベントの表示
      2.  
        [アクセス履歴 (Access History)]タブの監査に関連する問題のトラブルシューティング
    4.  
      監査保持期間と監査レコードのカタログバックアップ
    5.  
      詳細な NetBackup 監査レポートの表示
    6.  
      監査レポートのユーザーの ID
    7.  
      監査の無効化
    8.  
      監査エラーの監査アラート通知 (NetBackup 管理コンソール)
    9.  
      システムログへの監査イベントの送信
    10.  
      NetBackup プライマリサーバーの SYSLOG_AUDIT_USE_OCSF_FORMAT
  5. 第 I 部 個人情報とアクセスの管理
    1. 個人情報とアクセスの管理について
      1.  
        NetBackup のアクセス制御について
    2. AD ドメインと LDAP ドメイン
      1.  
        NetBackup での AD ドメインまたは LDAP ドメインの追加
      2.  
        AD または LDAP ドメイン構成の問題のトラブルシューティング
      3.  
        NetBackup Authentication Service で信頼する認証局
    3. アクセスキー
      1.  
        アクセスキー
      2.  
        アクセスコード
      3.  
        Web UI 認証を使用した CLI アクセス権の要求
      4.  
        他のユーザーの CLI アクセス要求の承認
      5.  
        コマンドラインアクセスの設定の編集
    4. API キー
      1.  
        API キーについて
      2.  
        API キーの作成
      3.  
        API キーの管理
      4. API キーの使用
        1.  
          NetBackup コマンドを実行するための API キーの環境変数の設定
    5. auth.conf ファイル
      1.  
        認可ファイル (auth.conf) の特徴
    6. 役割に基づくアクセス制御
      1.  
        RBAC の機能
      2.  
        RBAC 設定
      3.  
        RBAC の構成
      4.  
        役割の権限
      5.  
        NetBackup RBAC を使用するための注意事項
      6.  
        AD または LDAP ドメインの追加
      7. デフォルトの RBAC の役割
        1.  
          PaaS 管理者のカスタムの RBAC の役割の追加
        2.  
          Azure 管理対象インスタンスをリストアするためのカスタムの RBAC の役割の追加
      8.  
        カスタムの RBAC 役割の追加
      9.  
        カスタム役割の編集または削除
      10.  
        RBAC でのユーザーの表示
      11.  
        役割へのユーザーの追加 (非 SAML)
      12.  
        役割へのスマートカードユーザーの追加 (非 SAML、AD/LDAP なし)
      13.  
        役割へのユーザーの追加 (SAML)
      14.  
        役割からのユーザーの削除
    7. OS 管理者の NetBackup インターフェースアクセス
      1.  
        OS (オペレーティングシステム) 管理者のコマンドライン (CLI) アクセス権の無効化
      2.  
        OS (オペレーティングシステム) 管理者の Web UI アクセス権の無効化
    8. スマートカードまたはデジタル証明書
      1.  
        スマートカードまたはデジタル証明書によるユーザー認証の構成
      2.  
        ドメインを使用したスマートカード認証の構成
      3.  
        ドメインを使用しないスマートカード認証の構成
      4.  
        スマートカード認証の構成の編集
      5.  
        スマートカード認証に使用される CA 証明書の追加または削除
      6.  
        スマートカード認証を無効にするか一時的に無効にする
    9. シングルサインオン (SSO)
      1.  
        SSO (シングルサインオン) 設定について
      2. NetBackup の SSO (シングルサインオン) の構成
        1.  
          SAML キーストアの構成
        2.  
          SAML キーストアの構成と IDP 構成の追加および有効化
        3.  
          IDP を使用した NetBackup プライマリサーバーの登録
        4.  
          IDP 構成の管理
    10. NetBackup アクセス制御セキュリティ (NBAC)
      1.  
        NetBackup アクセス制御 (NBAC) の使用について
      2.  
        NetBackup のアクセス管理
      3.  
        NBAC (NetBackup アクセス制御) 構成について
      4. NetBackup アクセス制御 (NBAC) の構成
        1.  
          NBAC の構成の概要
        2.  
          スタンドアロンのプライマリサーバーでの NetBackup アクセス制御 (NBAC) の構成
        3.  
          クラスタでの高可用性の NetBackup プライマリサーバーのインストール
        4.  
          クラスタ化されたプライマリサーバーでの NetBackup アクセス制御 (NBAC) の構成
        5.  
          メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
        6.  
          クライアントでのアクセス制御のインストールおよび構成
        7.  
          NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
        8.  
          NBAC の構成コマンドの概略
        9.  
          NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
        10.  
          setuptrust コマンドの使用
      5. プライマリおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
        1.  
          [認証ドメイン (Authentication Domain)]タブ
        2.  
          [認可サービス (Authorization Service)]タブ
        3.  
          [ネットワーク属性 (Network Attributes)]タブ
      6. クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
        1.  
          クライアントの[認証ドメイン (Authentication Domain)]タブ
        2.  
          クライアントの[ネットワーク属性 (Network Attributes)]タブ
      7.  
        自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
      8. アクセス管理のトラブルシューティング
        1.  
          NBAC の問題のトラブルシューティング
        2.  
          NetBackup Authentication and Authorization の構成とトラブルシューティングのヒント
        3. Windows での検証項目
          1.  
            Windows プライマリサーバーでの検証項目
          2.  
            Windows メディアサーバーでの検証項目
          3.  
            Windows クライアントでの検証項目
        4. UNIX での検証項目
          1.  
            UNIX プライマリサーバーの検証
          2.  
            UNIX メディアサーバーの検証
          3.  
            UNIX クライアントの検証
        5. UNIX プライマリサーバーが存在する複合環境での検証項目
          1.  
            複合 UNIX プライマリサーバーのプライマリサーバーでの検証項目
          2.  
            複合 UNIX プライマリサーバーのメディアサーバーでの検証項目
          3.  
            複合 UNIX プライマリサーバーのクライアントでの検証項目
        6. Windows プライマリサーバーが存在する複合環境での検証項目
          1.  
            複合 Windows プライマリサーバーのプライマリサーバーでの検証項目
          2.  
            複合 Windows プライマリサーバーのメディアサーバーでの検証項目
          3.  
            複合 Windows プライマリサーバーのクライアントでの検証項目
        7.  
          nbac_cron ユーティリティについて
        8.  
          nbac_cron ユーティリティの使用
      9.  
        アクセス管理ユーティリティの使用
      10. NetBackup へアクセス可能なユーザーの決定について
        1.  
          個々のユーザー
        2.  
          ユーザーグループ
        3.  
          NetBackup のデフォルトユーザーグループ
        4. ユーザーグループ作成
          1.  
            新しいユーザーグループを作成する方法
          2.  
            既存のユーザーグループのコピーによる新しいユーザーグループの作成
          3.  
            ユーザーグループの名前の変更
          4.  
            ユーザーグループへの新しいユーザーの追加
        5. ユーザーグループおよびユーザーの定義について
          1.  
            新しいユーザーとしてのログオン
          2.  
            ユーザーグループへのユーザーの割り当て
          3.  
            認可オブジェクトおよび権限について
      11. NetBackup ユーザーグループの特定のユーザー権限の表示
        1.  
          権限の付与
        2.  
          認可オブジェクト
        3.  
          メディアの認可オブジェクトの権限
        4.  
          ポリシーの認可オブジェクトの権限
        5.  
          ドライブの認可オブジェクトの権限
        6.  
          レポートの認可オブジェクトの権限
        7.  
          NBU_Catalog の認可オブジェクトの権限
        8.  
          ロボットの認可オブジェクトの権限
        9.  
          ストレージユニットの認可オブジェクトの権限
        10.  
          ディスクプールの認可オブジェクトの権限
        11.  
          バックアップおよびリストアの認可オブジェクトの権限
        12.  
          ジョブの認可オブジェクトの権限
        13.  
          サービスの認可オブジェクトの権限
        14.  
          ホストプロパティの認可オブジェクトの権限
        15.  
          ライセンスの認可オブジェクトの権限
        16.  
          ボリュームグループの認可オブジェクトの権限
        17.  
          ボリュームプールの認可オブジェクトの権限
        18.  
          デバイスホストの認可オブジェクトの権限
        19.  
          セキュリティの認可オブジェクトの権限
        20.  
          ファットサーバーの認可オブジェクトの権限
        21.  
          ファットクライアントの認可オブジェクトの権限
        22.  
          権限Vault の認可オブジェクト
        23.  
          サーバーグループの認可オブジェクトの権限
        24.  
          キー管理システム (kms) グループの認可オブジェクトの権限
      12.  
        NetBackup アクセス制御 (NBAC) のアップグレード
      13.  
        サーバーの変更を NBAC と一緒に使った場合の構成要件
  6. セキュリティ構成リスクの最小化
    1.  
      セキュリティ構成リスクについて
    2.  
      リスクを最小限に抑えるために構成するセキュリティ設定
    3.  
      現在の体制をセキュリティベースラインとして設定する
    4.  
      セキュリティベースラインの管理
    5.  
      Alta View UI からのセキュリティベースラインの管理
  7. 多要素認証の構成
    1.  
      多要素認証について
    2.  
      ユーザーアカウントに対する多要素認証の構成
    3.  
      ユーザーアカウントの多要素認証の無効化
    4.  
      すべてのユーザーへの多要素認証の適用
    5.  
      ドメインで適用されている場合のユーザーアカウントに対する多要素認証の構成
    6.  
      ユーザーの多要素認証のリセット
  8. マルチパーソン認証の構成
    1.  
      マルチパーソン認証について
    2.  
      NetBackup 操作に対してマルチパーソン認証を構成するためのワークフロー
    3.  
      マルチパーソン認証に対する RBAC の役割と権限
    4.  
      役割に関するマルチパーソン認証プロセス
    5.  
      マルチパーソン認証が必要な NetBackup 操作
    6.  
      マルチパーソン認証の構成
    7.  
      マルチパーソン認証チケットの表示
    8.  
      マルチパーソン認証チケットの管理
    9.  
      除外されるユーザーの追加
    10.  
      マルチパーソン認証チケットの有効期限とパージのスケジュール
    11.  
      マルチパーソン認証の無効化
  9. 第 II 部 移動中のデータの暗号化
    1. NetBackup CA および NetBackup 証明書
      1.  
        NetBackup のセキュリティ証明書の概要
      2.  
        NetBackup での安全な通信について
      3. セキュリティ管理ユーティリティについて
        1.  
          ログイン処理について
      4. ホスト管理について
        1.  
          [ホスト (Hosts)]タブ
        2.  
          ホスト ID からホスト名へのマッピングの追加
        3.  
          [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
        4.  
          ホスト ID からホスト名へのマッピングの削除
        5.  
          [承認待ちのマッピング (Mappings for Approval)]タブ
        6.  
          自動検出されたマッピングの表示
        7.  
          [マッピングの詳細 (Mapping Details)]ダイアログボックス
        8.  
          ホスト ID からホスト名へのマッピングの承認
        9.  
          ホスト ID からホスト名へのマッピングの拒否
        10. 共有マッピングとクラスタマッピングの追加
          1.  
            共有マッピングまたはクラスタマッピングのシナリオについて
        11.  
          [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
        12.  
          NetBackup ホスト属性のリセット
        13.  
          クライアントの廃止
        14. 証明書の自動再発行の許可または禁止
          1.  
            ホストに対する autoreissue パラメータの有効期間の構成
        15.  
          ホストのコメントの追加または削除
      5. グローバルセキュリティ設定について
        1.  
          安全な通信の設定について
        2.  
          安全でない通信の無効化
        3.  
          8.0 以前のホストとの安全でない通信について
        4.  
          複数の NetBackup ドメインの 8.0 以前のホストとの通信について
        5.  
          ホスト ID をホスト名と IP アドレスに自動的にマッピングする
        6.  
          ディザスタリカバリ設定について
        7.  
          ディザスタリカバリパッケージ
        8.  
          ディザスタリカバリパッケージを暗号化するパスフレーズの設定
        9.  
          ディザスタリカバリパッケージのパスフレーズの検証
      6. ホスト名ベースの証明書について
        1.  
          ホスト名ベースの証明書の配備
      7. ホスト ID ベースの証明書について
        1.  
          nbcertcmd コマンドオプションの Web ログインの要件
        2. 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
          1.  
            ホスト ID ベースの証明書の詳細の表示
        3. NetBackup 証明書の配備のセキュリティレベルについて
          1.  
            証明書の配備のセキュリティレベルの設定
        4.  
          ホスト ID ベースの証明書の自動配備
        5.  
          ホスト ID ベース証明書の秘密鍵を暗号化するためのパスフレーズとパスフレーズキーの管理
        6.  
          ホスト ID ベースの証明書の配備
        7.  
          ホスト ID ベースの証明書の非同期的配備
        8.  
          証明書の有効期間に対するクロックスキューの意味
        9. プライマリサーバー (認証局) との信頼の設定
          1.  
            認証局の指紋の検索と伝達
        10.  
          証明書の配備の強制実行または上書き
        11.  
          プライマリ以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
        12.  
          プライマリサーバーと接続されていないクライアントでの証明書の配備
        13.  
          ホスト ID ベースの証明書の有効期限と更新について
        14.  
          メディアサーバーおよびクライアントからの重要な証明書とキーの削除
        15.  
          仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
        16. ホスト ID ベースの証明書の再発行について
          1.  
            再発行トークンの作成
          2.  
            ホストの鍵ペアの変更
      8. ホスト ID ベースの証明書のトークン管理について
        1.  
          認証トークンの作成
        2.  
          認証トークンの削除
        3.  
          認証トークンの詳細の表示
        4.  
          期限切れの認証トークンとクリーンアップについて
      9. ホスト ID ベースの証明書失効リストについて
        1.  
          プライマリサーバーでの CRL の更新
        2.  
          NetBackup ホストの CRL の更新
      10. ホスト ID ベースの証明書の無効化について
        1.  
          ホストとプライマリサーバー間の信頼の削除
        2.  
          ホスト ID ベースの証明書の無効化
        3.  
          NetBackup の CA が署名した証明書の削除
        4.  
          NetBackup ホストの証明書の状態の確認
        5.  
          証明書を無効化した NetBackup ホストのリストの取得
      11.  
        ホスト ID ベースの証明書の削除
      12. クラスタ化されたセットアップでのホスト ID ベースの証明書配備
        1. クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
          1.  
            アクティブなプライマリサーバーノードでのホスト ID ベースの証明書の配備
          2.  
            非アクティブなプライマリサーバーノードでのホスト ID ベースの証明書の配備
        2.  
          クラスタノードでのホスト ID ベースの証明書の配備
        3.  
          クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
        4.  
          再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
        5.  
          クラスタ化された NetBackup セットアップの再発行トークンの作成
        6.  
          クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
        7.  
          クラスタ化された NetBackup セットアップで証明書の詳細を表示する
        8.  
          クラスタ化された NetBackup セットアップからの CA 証明書の削除
        9.  
          ディザスタリカバリインストール後のクラスタ化されたプライマリサーバーでの証明書の生成
      13.  
        非武装地帯にある NetBackup クライアントとプライマリサーバーの間の HTTP トンネルを介した通信について
      14.  
        NetBackup ホストの手動での追加
      15. NetBackup CA の移行
        1.  
          NB_KEYSIZE 環境変数を使用してインストールまたはアップグレードする前に、必要なキーの強度を設定する
        2.  
          NetBackup ドメイン全体をアップグレードするときに NetBackup CA を移行する
        3.  
          インストールまたはアップグレード後に NetBackup CA を手動で移行する
        4.  
          CA の移行後の新しい CA 証明書が存在しないクライアントとの通信の確立
        5.  
          ドメイン内の NetBackup CA のリストの表示
        6.  
          CA 移行の概略の確認
        7.  
          非アクティブな NetBackup CA を廃止する
    2. 移動中のデータの暗号化 (DTE) の構成
      1.  
        データチャネルについて
      2.  
        移動中のデータの暗号化のサポート
      3.  
        移動中のデータの暗号化の構成ワークフロー
      4.  
        移動中のデータの暗号化のグローバル設定を行う
      5. クライアントの DTE モードの構成
        1.  
          クライアントの DTE_CLIENT_MODE
      6.  
        NetBackup ジョブの DTE モードの表示
      7.  
        NetBackup のイメージとイメージコピーに関する DTE 固有の属性の表示
      8.  
        メディアサーバーでの DTE モードの構成
      9. バックアップイメージでの DTE モードの変更
        1.  
          NetBackup サーバーの DTE_IGNORE_IMAGE_MODE
      10.  
        メディアデバイスの選択 (MDS) とリソースの割り当て
      11. さまざまな NetBackup 操作での DTE 構成設定の動作
        1.  
          バックアップ
        2.  
          リストア
        3.  
          MSDP のバックアップ、リストア、最適化複製
        4.  
          Universal-Share ポリシーのバックアップ
        5.  
          カタログのバックアップとリカバリ
        6.  
          複製
        7.  
          合成バックアップ
        8.  
          検証
        9.  
          インポート
        10.  
          レプリケーション
    3. 外部 CA と外部証明書
      1. NetBackup での外部 CA のサポートについて
        1.  
          外部証明書の構成に使用するコマンドラインオプション
      2.  
        NetBackup ホスト通信で外部証明書を使用するワークフロー
      3. 外部 CA が署名した証明書の構成オプション
        1. NetBackup サーバーとクライアントの ECA_CERT_PATH
          1.  
            ECA_CERT_PATH の Windows 証明書ストアの指定
        2.  
          NetBackup サーバーとクライアントの ECA_TRUST_STORE_PATH
        3.  
          NetBackup サーバーとクライアントの ECA_PRIVATE_KEY_PATH
        4.  
          NetBackup サーバーとクライアントの ECA_KEY_PASSPHRASEFILE
        5.  
          NetBackup サーバーとクライアントの ECA_CRL_CHECK
        6.  
          NetBackup サーバーとクライアントの ECA_CRL_PATH
        7.  
          NetBackup サーバーとクライアントの ECA_CRL_PATH_SYNC_HOURS
        8.  
          NetBackup サーバーとクライアントの ECA_CRL_REFRESH_HOURS
        9.  
          NetBackup サーバーとクライアントの ECA_DISABLE_AUTO_ENROLLMENT
        10.  
          NetBackup サーバーとクライアントの ECA_DR_BKUP_WIN_CERT_STORE
        11.  
          NetBackup プライマリサーバーの MANAGE_WIN_CERT_STORE_PRIVATE_KEY オプション
      4.  
        NetBackup サービスがローカルサービスアカウントのコンテキストで実行されている場合の Windows 証明書ストアの制限事項
      5. 外部 CA の証明書失効リストについて
        1.  
          ECA_CRL_PATH にある CRL を使用する方法
        2.  
          CDP URL にある CRL を使用する方法
      6. 証明書の登録について
        1.  
          外部証明書の自動登録について
      7.  
        プライマリサーバーの登録状態の表示について
      8. NetBackup Web サーバー用の外部証明書の構成
        1.  
          Web サーバー用外部証明書のアップデートまたは更新
        2.  
          Web サーバー用に構成された外部証明書の削除
      9.  
        外部 CA が署名した証明書を使用するプライマリサーバーの構成
      10.  
        インストール後に外部 CA が署名した証明書を使用するための NetBackup ホスト (メディアサーバー、クライアント、クラスタノード) の構成
      11.  
        リモートホストの外部証明書の登録
      12.  
        NetBackup ドメインがサポートする認証局の表示
      13.  
        NetBackup Web UI での外部 CA が署名した証明書の表示
      14.  
        ファイルベースの外部証明書の更新
      15.  
        証明書の登録を削除
      16.  
        NetBackup ドメインでの NetBackup CA の無効化
      17.  
        NetBackup ドメインでの NetBackup CA の有効化
      18.  
        NetBackup ドメインでの外部 CA の無効化
      19.  
        登録済み外部証明書のサブジェクト名の変更
      20. クラスタプライマリサーバー用の外部証明書の構成について
        1.  
          クラスタプライマリサーバーに外部証明書を使用するワークフロー
        2. 仮想名の外部 CA が署名した証明書の構成オプション
          1.  
            クラスタ化されたプライマリサーバーの CLUSTER_ECA_CERT_PATH
          2.  
            クラスタ化されたプライマリサーバーの CLUSTER_ECA_TRUST_STORE_PATH
          3.  
            クラスタ化されたプライマリサーバーの CLUSTER_ECA_PRIVATE_KEY_PATH
          4.  
            クラスタ化されたプライマリサーバーの CLUSTER_ECA_KEY_PASSPHRASEFILE
        3.  
          クラスタプライマリサーバーの外部証明書の構成
    4. キーと証明書の再生成
      1.  
        キーと証明書の再生成について
      2.  
        NetBackup 認証ブローカーのキーと証明書の再生成
      3.  
        ホスト ID のキーと証明書の再生成
      4.  
        Web サービスのキーと証明書の再生成
      5.  
        nbcertservice のキーと証明書の再生成
      6.  
        tomcat のキーと証明書の再生成
      7.  
        JWT キーの再生成
      8.  
        NetBackup ゲートウェイ証明書の再生成
      9.  
        Web トラストストア証明書の再生成
      10.  
        VMware vCenter プラグイン証明書の再生成
      11.  
        NetBackup 管理者コンソールのセッション証明書の再生成
      12.  
        NetBackup 暗号化キーファイルの再生成
  10. 第 III 部 格納データの暗号化
    1. 格納データの暗号化セキュリティ
      1.  
        格納データの暗号化に関する用語
      2.  
        格納データの暗号化に関する注意事項
      3.  
        格納データの暗号化の宛先形式
      4.  
        暗号化セキュリティについて考慮する際の質問
      5.  
        暗号化オプションの比較
      6. NetBackup クライアントの暗号化について
        1.  
          暗号化セキュリティのインストール前提条件
        2. 暗号化を使用したバックアップの実行について
          1.  
            バックアップの暗号化の選択について
          2.  
            標準暗号化を使用したバックアップ処理
          3.  
            レガシー暗号化を使用したバックアップ処理
        3.  
          NetBackup 標準暗号化を使用したリストア処理
        4.  
          NetBackup レガシー暗号化を使用したリストア処理
      7. クライアントでの標準暗号化の構成
        1.  
          標準暗号化の構成オプションの管理
        2.  
          NetBackup 暗号化鍵ファイルの管理
        3. サーバーからの標準暗号化の構成について
          1.  
            クライアントでの暗号化鍵ファイルの作成について
          2.  
            鍵ファイルの作成
          3.  
            鍵ファイルのリストアの推奨する実施例
          4.  
            鍵ファイルのパスフレーズを保護するための手作業による保存
          5.  
            鍵ファイルの自動バックアップ
        4.  
          暗号化されたバックアップファイルの、異なるクライアントへのリストア
        5.  
          クライアントでの標準暗号化の直接的な構成について
        6.  
          ポリシーでの標準暗号化属性の設定
        7.  
          NetBackup サーバーからのクライアントの暗号化設定の変更
      8. クライアントでのレガシー暗号化の構成
        1. クライアントからのレガシー暗号化の構成について
          1.  
            レガシー暗号化鍵ファイルの管理
        2. サーバーからのレガシー暗号化の構成について
          1.  
            クライアントへのレガシー暗号化構成のプッシュインストールについて
          2.  
            クライアントへのレガシー暗号化パスフレーズのプッシュインストールについて
        3.  
          別のクライアントで作成されたレガシー暗号化が使用されたバックアップのリストア
        4.  
          ポリシーでのレガシー暗号化属性の設定について
        5.  
          サーバーからのクライアントのレガシー暗号化設定の変更
        6. UNIX 版クライアントのレガシー鍵ファイルの追加によるセキュリティの向上
          1.  
            bpcd -keyfile コマンドの実行
          2.  
            UNIX クライアントでの bpcd の終了
    2. NetBackup Key Management Service
      1. FIPS 対応 KMS について
        1.  
          FIPS (連邦情報処理標準) について
      2. KMS のインストール
        1.  
          KMS の NBAC との使用
        2.  
          HA クラスタに使用する KMS のインストールについて
        3.  
          KMS サービスの監視の有効化
        4.  
          KMS サービスの監視の無効化
      3. KMS の構成
        1.  
          キーデータベースの作成
        2. キーグループとキーレコードについて
          1.  
            キーグループの作成について
          2.  
            キーレコードの作成について
        3. キーレコードの状態の概要
          1.  
            キーレコードの状態に関する注意事項
          2.  
            キーレコードの prelive 状態
          3.  
            キーレコードの active 状態
          4.  
            キーレコードの inactive 状態
          5.  
            キーレコードの deprecated 状態
          6.  
            キーレコードの terminated 状態
        4.  
          KMS データベースファイルのバックアップについて
        5.  
          すべてのデータファイルのリストアによる KMS のリカバリについて
        6.  
          KMS データファイルのみのリストアによる KMS のリカバリ
        7.  
          データ暗号化キーの再生成による KMS のリカバリ
        8.  
          KMS データファイルのバックアップに関する問題
        9.  
          KMS データベースファイルのバックアップソリューション
        10.  
          キーレコードの作成
        11.  
          主要グループからのキーのリスト
        12. KMS と連携するための NetBackup の構成
          1.  
            NetBackup および KMS のキーレコード
          2.  
            テープ暗号化を使用するように NetBackup を設定する例
        13.  
          KMS Web アプリケーションを使用した NetBackup KMS の設定
      4. 暗号化への KMS の使用について
        1.  
          KMS 暗号化イメージのインポートについて
        2.  
          暗号化テープバックアップの実行例
        3.  
          暗号化バックアップの確認例
      5. KMS データベースの要素
        1.  
          空の KMS データベースの作成
        2.  
          KPK ID および HMK ID の重要性
        3.  
          HMK および KPK の定期的な更新について
        4.  
          KMS キーストアおよび管理者キーのバックアップ
      6. コマンドラインインターフェース (CLI) を使用した KMS 操作
        1.  
          CLI の使用方法のヘルプ
        2.  
          新しいキーグループの作成
        3.  
          新しいキーの作成
        4.  
          キーグループの属性の変更
        5.  
          キーの属性の変更
        6.  
          キーグループの詳細の取得
        7.  
          キーの詳細の取得
        8.  
          キーグループの削除
        9.  
          キーの削除
        10.  
          キーのリカバリ
        11. KMS データベースからのキーのエクスポートと KMS データベースへのキーのインポートについて
          1. キーのエクスポート
            1.  
              エクスポート時における一般的なエラーのトラブルシューティング
          2. キーのインポート
            1.  
              インポート時における一般的なエラーのトラブルシューティング
        12.  
          ホストマスターキー (HMK) の変更
        13.  
          ホストマスターキー (HMK) ID の取得
        14.  
          キーの保護キー (KPK) ID の取得
        15.  
          キーの保護キー (KPK) の変更
        16.  
          キーストアの統計の取得
        17.  
          KMS データベースの静止
        18.  
          KMS データベースの静止解除
        19.  
          キーの作成オプション
      7. KMS のトラブルシューティング
        1.  
          バックアップが暗号化されていない問題の解決方法
        2.  
          リストアが復号化されない問題の解決方法
        3.  
          トラブルシューティングの例 - active キーレコードが存在しない場合のバックアップ
        4.  
          トラブルシューティングの例 - 不適切なキーレコード状態でのリストア
    3. 外部のキーマネージメントサービス
      1.  
        外部 KMS について
      2.  
        証明書の構成と認可
      3.  
        外部 KMS の構成のワークフロー
      4.  
        KMS クレデンシャルの検証
      5. KMS クレデンシャルの構成
        1.  
          KMS クレデンシャルの一覧表示
        2.  
          KMS クレデンシャルの更新
        3.  
          KMS クレデンシャルの削除
      6. KMS の構成
        1.  
          KMS 構成の一覧表示
        2.  
          KMS 構成の更新
        3.  
          KMS 構成の削除
      7.  
        NetBackup 消費用の外部 KMS でのキーの構成
      8. 外部 KMS でのキーの作成
        1.  
          キーのリスト作成
      9.  
        ストレージ構成時のキーグループ名の確認
      10. 複数の KMS サーバーでの作業
        1.  
          1 台の KMS サーバーの別の KMS サーバーへの移行
        2.  
          ストレージ構成ごとの個別の KMS サーバーの使用
      11.  
        バックアップおよびリストア時の外部 KMS の使用
      12.  
        NetBackup との KMS ベンダーの互換性の確認
      13.  
        キーのローテーション
      14.  
        外部 KMS サーバーを使用してカタログバックアップを暗号化する場合のディザスタリカバリ
      15.  
        KMS クレデンシャルの有効期限に関するアラート
    4. NetBackup での HSM (ハードウェアセキュリティモジュール) のサポート
      1.  
        HSM (ハードウェアセキュリティモジュール) の概要
      2.  
        NetBackup ホストでのハードウェアセキュリティモジュールの構成
      3.  
        HSM を使用した NetBackup でのホスト ID のアーティファクトの保護
      4.  
        ファイルストアベースの暗号化に戻す
      5.  
        HSM 間の移行
  11. 安全な通信のために NetBackup で使用される暗号
    1.  
      NetBackup で使用される暗号
  12. NetBackup での FIPS 準拠
    1.  
      FIPS について
    2.  
      NetBackup での FIPS のサポートについて
    3.  
      前提条件
    4.  
      NetBackup でのエントロピーランダム性の指定
    5.  
      NetBackup ドメインでの FIPS モードの構成
    6.  
      インストール時の NetBackup での FIPS モードの有効化
    7.  
      インストール後の NetBackup ホストでの FIPS モードの有効化
    8.  
      NetBackup 認証ブローカーサービスに対する FIPS モードの有効化
    9.  
      NetBackup 管理コンソールの FIPS モードの有効化
    10. NetBackup に対する FIPS モードの無効化
      1.  
        NetBackup ホストに対する FIPS モードを無効にする
      2.  
        NetBackup 認証ブローカー (nbatd) に対する FIPS モードを無効にする
      3.  
        NetBackup 管理コンソールの FIPS モードの無効化
    11.  
      NetBackup サーバーとクライアントの NB_FIPS_MODE オプション
    12.  
      NetBackup サーバーとクライアントの USE_URANDOM
  13. NetBackup での PQC (ポスト量子暗号化) のサポート
    1.  
      PQC (ポスト量子暗号化) について
    2.  
      TLS 通信での PQC のサポート
    3.  
      NetBackup での PQC の構成
    4. 重複排除のための PQC の構成
      1.  
        MSDP のための PQC の有効化
      2.  
        MSDP のための PQC の無効化
      3.  
        MSDP の PQC 状態の表示
  14. NetBackup Web サービスアカウント
    1.  
      NetBackup Web サービスアカウントについて
    2.  
      Web サービスユーザーアカウントの変更
  15. 特権のないユーザー (サービスユーザー) アカウントでの NetBackup サービスの実行
    1. NetBackup サービスユーザーのアカウントについて
      1.  
        サービスユーザーアカウントを使用する場合の重要な考慮事項
    2.  
      サービスユーザーアカウントの構成
    3.  
      インストールまたはアップグレード後のサービスユーザーアカウントの変更
    4.  
      サービスユーザーアカウントに外部パスへのアクセス権を付与する
    5.  
      サービスユーザーアカウントで実行される NetBackup サービス
  16. 特権のないユーザーアカウントでの NetBackup コマンドの実行
    1. nbcmdrun ラッパーコマンドを使用した NetBackup コマンドの実行
      1.  
        NetBackup コマンドを実行可能なユーザー
      2.  
        nbcmdrun のしくみ
  17. NetBackup でのデータの変更不可と削除不可
    1.  
      変更不可データと削除不可データについて
    2.  
      変更不可データと削除不可データを構成するためのワークフロー
    3.  
      bpexpdate コマンドを使用したストレージからの変更不可イメージの削除
    4.  
      bpexpdate コマンドを使用したカタログからの変更不可イメージの削除
  18. 異常検出
    1. バックアップの異常検出について
      1.  
        バックアップの異常の検出方法
      2.  
        バックアップの異常検出の設定
      3.  
        プライマリサーバーでのバックアップの異常検出
      4.  
        メディアサーバーでのバックアップの異常検出
      5.  
        バックアップの異常の表示
    2. システムの異常検出について
      1.  
        システムの異常検出の設定
      2.  
        ルールベースの異常検出の構成
      3.  
        リスクエンジンベースの異常検出の構成
      4.  
        システムの異常の表示
    3.  
      自動スキャンを有効にするための異常構成
    4. NetBackup でのエントロピーとファイル属性の計算
      1.  
        エントロピーとファイル属性の計算に関するサポート情報
      2.  
        NetBackup プライマリサーバーの COMPUTE_IMAGE_ENTROPY
      3.  
        クライアントに関するバックアップの異常検出とエントロピーおよびファイル属性の計算の無効化
  19. 第 IV 部 マルウェアスキャン
    1. 概要
      1. マルウェアスキャンについて
        1. マルウェアスキャンのワークフロー
          1.  
            エージェントレスホストをスキャンホストとして使用した MSDP バックアップイメージのマルウェアスキャンワークフロー
          2.  
            NetBackup クライアントをスキャンホストとして使用した MSDP バックアップイメージのマルウェアスキャンワークフロー
          3.  
            OST と AdvancedDisk のマルウェアスキャンのワークフロー
      2.  
        動的スキャンについて
      3.  
        マルウェアハッシュを使用したファイルハッシュ検索について
      4.  
        制限事項
    2. マルウェアスキャンを設定する方法
      1.  
        マルウェアスキャンを設定する方法
    3. インスタントアクセスの構成
      1.  
        インスタントアクセスの構成について
      2.  
        インスタントアクセスを構成するための MSDP の独自の (BYO) サーバーにおける前提条件とハードウェア要件
      3.  
        マルウェアスキャンのインスタントアクセスのチューニングパラメータ (BYO)
      4.  
        スキャンインスタンスの構成
    4. マルウェアツールの構成
      1.  
        サポート対象のマルウェアツール
      2. NetBackup マルウェアスキャナ (Avira) の構成
        1.  
          シグネチャ更新のためのミラーサーバーの構成
        2.  
          Windows または Linux でのプロキシサーバーの構成
        3. スキャンホスト上の NetBackup マルウェアスキャナの構成
          1.  
            NetBackup マルウェアスキャナの Windows 向けの構成
          2.  
            NetBackup マルウェアスキャナの Linux 向けの構成
      3.  
        Symantec Protection Engine の構成
      4.  
        Microsoft Defender ウイルス対策の構成
      5.  
        Trend Micro マルウェアスキャナの構成
    5. スキャンホストの構成
      1.  
        NetBackup マルウェアスキャンホストの機能
      2. スキャンホストの前提条件
        1.  
          Windows スキャンホストの前提条件
        2.  
          Linux スキャンホストの前提条件
      3.  
        NFS 共有を使用したスキャンホストの制限事項と考慮事項
      4. スキャンホストの構成
        1. 自動スキャンホストの構成
          1.  
            PowerShell を使用したスキャンホストの構成
          2.  
            シェルを使用したスキャンホストの構成
          3.  
            Ansible を使用したスキャンホストの構成
        2. 手動スキャンホストの構成
          1.  
            Windows NFS 共有タイプと Microsoft Defender のマルウェアスキャンホストの構成
          2.  
            Linux NFS 共有タイプと Avira のマルウェアスキャンホストの構成
          3.  
            スキャンホストとしての NetBackup クライアントの構成
      5. スキャンホストプールの構成
        1.  
          スキャンホストプールの前提条件
        2.  
          新しいスキャンホストプールの構成
        3.  
          スキャンホストプールへの新しいホストの追加
      6. スキャンホストの管理
        1.  
          既存のスキャンホストの追加
        2.  
          スキャンホストプールの構成の検証
        3.  
          スキャンホストの削除
        4.  
          スキャンホストの有効化または無効化
        5.  
          マルウェアスキャンのクレデンシャルの管理
      7.  
        マルウェア検出のリソース制限の構成
    6. マルウェアスキャンの実行
      1.  
        リカバリ前のマルウェアスキャンの実行
      2. マルウェアスキャンの実行
        1.  
          バックアップイメージのスキャン
        2.  
          ポリシー形式別の資産
        3.  
          作業負荷の種類ごとの資産
    7. スキャンタスクの管理
      1.  
        マルウェアスキャンの状態の表示
      2.  
        マルウェアスキャンイメージの処理
      3.  
        マルウェアに感染したイメージ (保護計画によって保護されているクライアント) からのリカバリ
      4.  
        マルウェアに感染したイメージ (ポリシーによって保護されているクライアント) からのリカバリ
      5.  
        仮想ワークロードのクリーンファイルリカバリ (VMware)
    8. マルウェアスキャンの構成パラメータ
      1.  
        MALWARE_SCAN_OPERATION_TIMEOUT
      2.  
        MALWARE_DETECTION_CLEANUP_PERIOD
      3.  
        NetBackup サーバーの MALWARE_DETECTION_TIMEOUT_PERIOD オプション
      4.  
        FAIL_SAFE_SCAN_RETRY_COUNT
      5.  
        マルウェアハッシュの構成パラメータ
      6.  
        MALWARE_DETECTION_MALWARE_JOBS_CLEANUP_PERIOD
      7.  
        MALWARE_DETECTION_WORKLIST_CLEANUP_PERIOD
    9. トラブルシューティング
      1.  
        マルウェアスキャンの問題のトラブルシューティング

Trend Micro マルウェアスキャナの構成

NetBackup 11.0 以降では、Trend Micro マルウェアスキャナを使用したマルウェアスキャンのサポートが提供されるようになりました。

メモ:

Trend Micro マルウェアスキャナは現在 Linux でのみサポートされています。

Trend Micro マルウェアスキャナを Linux 向けに構成するには

  1. Trend Micro のビジネスソフトウェアダウンロードセンターから Trend Micro Deep Security Manager と Agent をインストールします。

    次の点に注意してください。

    • Deep Security Manager は、スキャンホスト以外の別のセットアップにインストールできます。

    • Deep Security Agent は、スキャンホストにインストールする必要があります。

      Deep Security Agent の必要な最小バージョンは 20.0.1-690 です。

  2. Trend Micro マルウェアスキャナは、root ユーザーによるマルウェアスキャンのみをサポートします。これは、Trend Micro 社で dsa_scan コマンドが次のようにサポートされているためです。

    Linux で root アクセス権を持っている場合は、dsa_scan コマンドを使用して、指定したファイルまたはディレクトリ (サブディレクトリを含む) でスキャンタスクを実行できます。

  3. 次のように .bashrc ファイルで TREND_MICRO_AGENT_PATH 環境変数を設定します。

    例: export TREND_MICRO_AGENT_PATH=/opt/ds_agent

    メモ:

    スキャンホストとして NetBackup クライアントを使用している場合は、/usr/openv/netbackup/bp.conf 構成ファイルに同じエントリを追加することをお勧めします。

    例: TREND_MICRO_AGENT_PATH=/opt/ds_agent

  4. コマンドプロンプトで次のコマンドを実行し、出力を確認します。

    /opt/ds_agent/dsa_scan --action pass --target <path to scan>