KMIP クライアントを使用して、安全な鍵管理を行うにはどうすればよいですか？

最終更新日: 2025-06-09

該当製品

KMIP クライアント
QuTS hero h5.3.0またはそれ以降バージョニング

KMIP クライアントをバージョン情報

KMIP クライアントは、リモートKey Management Interoperability Protocol（KMIP）サーバーに接続することで、NASにストレージ機能用の暗号化キーを安全に保存および取得することを可能にします。KMIP クライアントは、エージェントとして、暗号化された共有フォルダーや暗号化されたLUNなどのNASのストレージ機能と、接続されたKMIPサーバーとの間の通信を管理します。

KMIP クライアントは1対1の接続をサポートしており、各NASは一度に1つのKMIPサーバーにのみ接続できます。設定が完了すると、ストレージ機能向けに一元化された、安全でコンプライアンスに準拠した暗号化キー管理を提供し、暗号化されたデータの完全性とアクセス性を確保します。

KMIP クライアント機能

KMIPサーバー上で暗号化キーをリモートで保存および管理し、NASレベルでの不正アクセスやキーの紛失のリスクを最小限に抑えます。
暗号化された共有フォルダーおよびLUNに対する暗号化キーの取得と適用を自動化し、セキュリティとユーザーエクスペリエンスを向上させます。
キー管理システム（KMS）と統合して、ストレージの暗号化に関するエンタープライズレベルのセキュリティおよびコンプライアンス基準を満たします。
KMIP クライアントとサーバーが稼働している限り、システムの再起動後も暗号化されたLUNおよび共有フォルダーへのアクセスを維持できます。

KMIP クライアントをインストールと設定

KMIP クライアントをインストールして暗号化キー管理サービスを有効にし、リモートKMIPサーバーとの安全な通信を確立するように設定します。

前提条件

管理者としてNASにログインします。
NASがQuTS hero h5.3.0以降を実行していることを確認してください。
KMIP準拠のキー管理システム（KMS）が正しく設定され、NASに接続できる状態になっていることを確認してください。
ベンダーの指示に従ってKMSを設定し、KMSベンダーによって別段の指定がない限り、KMIP通信が適切なポート（通常は5696）で有効になっていることを確認してください。このポートは、KMIP クライアントとKMIPサーバー間の相互TLS（mTLS）通信に使用されます。
必要な証明書を作成するか、KMIPサーバーにインポートします。

KMIP クライアントをインストール

管理者としてNASにログインします。
App Centerを開きます。
検索フィールドでKMIP Clientを検索して当該アプリを見つけます。
[KMIP クライアント]をクリックします。
アプリ更新頻度を選択します。
[インストール]をクリックします。
App Centerは、KMIP クライアントをデバイスにインストールします。

KMIP クライアントにアクセス

KMIP クライアントの設定には、次のオプションからアクセスできます。

[コントロールパネル] > [システム] > [セキュリティ] > [KMIP]
KMIP クライアントアプリケーションを開くと、コントロールパネルのKMIP設定ページにリダイレクトされます。

KMIP クライアント証明書を管理します

KMIP クライアント証明書を管理して、NASとリモートKMIPサーバー間の安全で認証された通信を確保できます。証明書は、デバイスとデバイスの身元を確認して、ネットワーク上で交換されるデータを暗号化するために必要です。この目的のために、NASで新しい証明書を生成するか、ローカルデバイスから既存の証明書をインポートすることができます。さらに、ステータス、有効期限、発行機関などの証明書の詳細を表示したり、証明書の交換、ダウンロード、削除などの操作を行って、KMIP クライアントの接続のセキュリティと継続性を維持することができます。

新しいKMIP クライアント証明書を生成する

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
[KMIP クライアント証明書]の[追加]をクリックします。
[KMIP クライアント証明書の追加]ウィンドウが表示されます。
[新しい証明書を生成]を選択します。
[追加]をクリックします。
システムは新しいKMIP証明書を生成します。

カスタム証明書をインポートする

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
[KMIP クライアント証明書]の[追加]をクリックします。
[KMIP クライアント証明書の追加]ウィンドウが表示されます。
[証明書をインポートする]を選択します。
証明書管理セクションで、各フィールドの横にある[参照]をクリックします。
- 証明書：.pem証明書ファイルを選択します。
- プライベートキー：一致する.keyプライベートキーファイルを選択します。
- 中間証明書（オプション）：該当する場合、中間.pem証明書ファイルを選択します。
いずれの場合も、ファイル選択ダイアログで適切なファイルを見つけ、[開く]または同等のオプションをクリックして選択を確認してください。
[追加]をクリックします。
システムは KMIP 証明書をインポートして追加します。

証明書を管理する

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。

以下のタスクのいずれかを実行できます。

タスク	説明	アクション
証明書ステータスを表示する	インストールされている証明書の現在のステータスと有効期限を確認してください。	[KMIP クライアント証明書]で、ステータスと有効期限を確認します。
証明書の置き換え	新しい証明書をアップロードして、既存の証明書を更新してください。	[KMIP クライアント証明書]の[置き換え]をクリックします。 [KMIP クライアント証明書の置き換え]ウィンドウが表示されます。 [証明書を生成する]または[証明書をインポートする]を選択します。 KMIP クライアント証明書のインポートの詳細については、「カスタム証明書のインポート」をご覧ください。 [置き換え]をクリックします。
証明書のダウンロード	現在の証明書のコピーをデバイスに保存してください。	[KMIP クライアント証明書]で、[ダウンロード]をクリックしてください。 1つ以上のファイルをダウンロードを選択してください。 [ダウンロード]をクリックします。
証明書を削除する	インストールされている証明書をシステムから削除します。	[KMIP クライアント証明書]の[削除]をクリックします。削除確認ウィンドウが表示されます。 [はい]をクリックします。

KMIP クライアントは、指定されたアクションを実行します。

KMIPサーバー接続の設定と管理を行います

NASとリモートKMIPサーバー間の通信のセキュリティを確保するために、KMIP クライアントの接続設定を構成および管理することができます。これにより、システムはKMIPプロトコルを通じて暗号化キーを安全に処理することができます。設定プロセスには、KMIP クライアントの有効化または無効化、NASとKMIPサーバー間の接続の設定、編集、およびテストが含まれます。さらに、セキュリティ設定を最新の状態に保つために、必要に応じてKMIPサーバーの接続設定を消去することもできます。

重要

サーバーがオフライン、接続できない、またはKMIPサービス実行中ではない場合、接続は保存できません。サーバーのアドレス、ポート（デフォルト：5696）を確認し、KMIPサービスが有効になっていることを確認してください。
NASおよびKMIPサーバーの両方に、有効で期限が切れていない証明書がインストールされている必要があります。クライアントまたはサーバーの証明書がない、無効、または有効期限が切れている場合、接続は失敗します。
クライアント証明書またはサーバーの設定が誤っている場合、認証は失敗します。接続を試みる前に、両方のデバイスでクライアントの認証情報、証明書の割り当て、および認証設定を確認してください。

KMIPサーバー接続設定を行う

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
[構成ウィザード]をクリックします。
[KMIPサーバー接続設定]ウィンドウが表示されます。
KMIPサーバーのホスト名またはIPアドレスを入力してください。
相互TLSを使用するKMIPサーバー接続のポート番号を定義します。既定のポートは 5696 です。
0~50文字の長さの、識別可能なKMIPサーバーのラベルを入力してください。
接続時にKMIPサーバーのIDを認証するために、信頼できるCA証明書を選択してください。
注記
これは、サーバーが、信頼された認証局によって発行されていない自己署名証明書を使用している場合に必要です。
[接続]をクリックします。
[KMIP サーバー証明書の信頼]ウィンドウが表示されます。
注記
KMIPサーバーの接続設定を再構成するには、KMIPサーバーセクションの[編集]をクリックします。
証明書詳細を確認し、[信頼]をクリックます。

KMIP クライアントサービスを有効または無効にする

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
[KMIP クライアントを有効にする]の横のチェックボックスをクリックします。
このシステムは、KMIP クライアントサービスを有効または無効にします。

KMIPサーバー接続をテストする

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
KMIPサーバーセクションの[テスト接続]をクリックします。
システムは、クライアントとKMIPサーバー間の接続テストを開始し、最新の結果で[最後の接続]フィールドを更新します。

KMIPサーバー接続設定をリセットする

重要

KMIPサーバーの接続設定をリセットすると、デバイスは、設定済みのKMIPサーバーに保存されている暗号化キーにアクセスできなくなります。続行する前に、必要なすべてのキーが確実にバックアップまたは移行されていることを確認してください。

KMIP クライアントを開きます。
KMIP クライアントは、コントロールパネルのKMIPページにリダイレクトします。
KMIPサーバーセクションの[リセット]をクリックします。
確認メッセージが表示されます。
[確認]をクリックしてください。
システムはKMIPサーバーの接続設定をリセットします。

ストレージマネージャーでのKMIP クライアントの使用例

LUNおよび共有フォルダーの暗号化されたキーを保存します
- ストレージマネージャーの[グローバル設定]ページで、[KMIPサーバーに暗号化キーを保存する]オプションを有効にして、KMIPサーバーに暗号化キーを保存します。これには、アクティブなKMIP クライアント接続が必要です。有効にすると、暗号化された共有フォルダーおよびLUNは、KMIP クライアント経由で暗号化キーを保存および取得し、KMIP サービスによって起動時に自動的にロックが解除されます。詳細については、QuTS heroユーザーガイドの「ストレージマネージャー」の章にある「ストレージのグローバル設定」のトピックをご覧ください。
暗号化されたLUNまたは共有フォルダーを削除する際に、保存されているKMIP暗号化キーを自動的に削除します
- [KMIPサーバーに暗号化キーを保存する]設定が有効になっている場合、暗号化された共有フォルダーが削除されると、関連する暗号化キーがKMIPサーバーから削除されます。
システムの起動時に、暗号化されたフォルダーまたはLUN共有フォルダーのロックを自動的に解除する
- 新しい暗号化されたLUNまたは共有フォルダーを作成する場合、KMIPを使用して起動時にロックを解除するかどうかを選択できます。KMIPサーバーへの接続が切断されている場合、[KMIPサーバーに保存されている暗号化キーでロック解除する]オプションは無効になります。詳細については、QuTS heroユーザーガイドの「ストレージマネージャー」の章にある「LUN の暗号化を管理する」または「共有フォルダー暗号化を管理する」をご覧ください。

重要

これらの機能を使用するには、[コントロールパネル] > [セキュリティ]で[KMIP クライアント]を有効にし、[ストレージマネージャー]でグローバル設定を有効にする必要があります。
KMIP クライアントとKMIPサーバー間の接続が安定していることを確認し、キーの保存、ロック解除、暗号化管理などの機能を使用してください。
KMIP クライアントは、アプリケーション機能が KMIP サービスをアクティブに使用している間は、無効にできません。
KMIPサーバーの接続設定は、KMIP クライアントを無効にした後にのみクリアできます。クリアすると、NAS上の関連する暗号化キーレコードは使用できなくなります。
KMIPサーバーの接続設定を消去すると、KMIPサーバーに暗号化キーを保存していた暗号化された共有フォルダーは、KMIP クライアントを再度有効にして同じKMIPサーバーに再接続しても、そのキーを取得できなくなります。

さらに読む

QuTS hero h5.3.0ユーザーガイド

この記事は役に立ちましたか？

はい。いいえ。

この記事の改善箇所をお知らせください。

記事に、重要な情報が欠けている
記事のソリューションでは解決できない
記事の内容が複雑すぎる
記事には誤った情報が含まれている
記事の情報は最新ではない

その他のフィードバックがある場合は、以下に入力してください。

NAS

ネットワーキング

監視