OCI Vaultについて＜応用とまとめ＞

© 2025 Database Technology Inc. All Rights Reserved. 株式会社データベーステクノロジ OCI
Vaultについて【第4回】～応用的なVaultの説明、全体のまとめ～ 2025年11月17日 (月) 下山星夜

© 2025 Database Technology Inc. All Rights Reserved. 2 はじめに
本書は、Oracle Cloud Infrastructure（以下「OCI」）内で使用可能なOCI Vaultについて、弊社の解釈による解説を付記して紹介するものです。 OCIの各サービスにおける最新情報については、オラクル社による公式情報をご確認ください。 OCIコンソールの実際の画面は、本書と若干異なる可能性がございます。

© 2025 Database Technology Inc. All Rights Reserved. 3 第1回：OCI
Vaultの概要説明第2回：マスター暗号化キーの説明第3回：シークレットの説明第4回：応用的なVaultの説明、全体のまとめ ※OCI Vaultは、4回に分けて機能紹介を行います。本書は4回目です。各回のタイトル

© 2025 Database Technology Inc. All Rights Reserved. 4 Index
1. これまでの復習 2. 応用的なOCI Vaultについて 3. 応用的なOCI Vaultの機能 4. HSM管理設定 5. 応用的なOCI Vaultのまとめ 6. 全体を通してのまとめ

© 2025 Database Technology Inc. All Rights Reserved. 5 本資料のみかた
⚫ 本資料では、「一般的な内容」と「OCI固有の内容」の2種類を取り扱います。 ⚫ 各スライド右上に、該当する内容として『一般』または『OCI固有』のラベルを表示しています。 ⚫ 以下のアイコンにより、各スライドがどちらかの内容を扱っているかを一目で判断できます。一般 OCI固有

© 2025 Database Technology Inc. All Rights Reserved. 6 1.
これまでの復習 OCI Vault

© 2025 Database Technology Inc. All Rights Reserved. 7 【
1-1 】OCI Vault：要素 OCI固有 OCI Vault キー管理（暗号化キー）シークレット管理（パスワード、SSHキー、など） HSMキー ※1 ソフトウェアキー ※1 HSM（ハードウェアセキュリティモジュール）は、暗号化キーを安全に格納するハードウェア本資料で解説

© 2025 Database Technology Inc. All Rights Reserved. 8 名称
特徴コストデフォルトVault 無償枠を利用可能無料～＄仮想プライベートVault デフォルトに比べて豊富なリソース、高可用性、高セキュリティ＄＄＄専用キー管理サービス PKCS#11の標準ライブラリ、高セキュリティ＄＄＄＄外部キー管理サービス外部HSMを利用 ※1 ＄＄【 1-2 】OCI Vault：比較 ※1 Thalesが提供するサードパーティ製のキー管理サービスをサポート OCI固有

1-3 】マスター暗号化キーの暗号化アルゴリズム：まとめ AESキー RSAキー ECDSAキー • キー・バージョンのカウントは1で、キーの種類は対称キー • 暗号化・復号に利用 • デフォルトの暗号化アルゴリズム • コンソール画面、OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 暗号化・復号、署名・署名データ検証に利用 • コンソール画面では暗号化が利用不可、署名が利用可能 • OCI CLIやAPIで利用可能 • キー・バージョンのカウントは2で、キーの種類は非対称キー • 署名・署名データ検証に利用 • コンソール画面、OCI CLIやAPIで利用可能 OCI固有

1-4 】シークレット：まとめ OCI固有 OCI Vault 証明書 Ver.1 パスワード Ver.1 認証トークン Ver.1 SSHキー Ver.1 無料で利用可能利用目的に合わせて、シークレットの形式を決定シークレット・バージョン作成＋ターゲットシステム更新ローテーション証明書 Ver.2 パスワード Ver.2 認証トークン Ver.2 SSHキー Ver.2

応用的なOCI Vaultについて OCI Vault Key Management

2-1 】OCI Vault：種類 OCI固有 ①デフォルトVault ②仮想プライベートVault ③専用キー管理サービス ④外部キー管理サービス Key Management OCI Vault OCI Vault Key Management • 共有のHSMパーティション • OCIのコストは安い • 専用のHSMパーティション • OCIのコストは高い • 外部のHSMパーティション • OCIのコストは普通（外部HSMは別コスト） • 専用のHSMパーティション • HSMを直接管理可能 • OCIのコストはかなり高い

2-2 】OCI Vault：タイプ決めのワークフロー OCI固有開始予算はあるか？ HSMは外部利用か？ HSMを管理するか？ ①デフォルトVault ②仮想プライベートVault ③専用キー管理サービス ④外部キー管理サービス YES NO YES NO YES NO

© 2025 Database Technology Inc. All Rights Reserved. 14 OCI
Vault 【 2-3 】OCI Vault：削除スケジュールとコスト OCI固有 OCI Vault 最短7日削除スケジュール開始実際に削除が行われる。最低でも7日分のコストがかかることになる。 ②仮想プライベートVault ③専用キー管理サービス最小構成（1 Vault）の最低コスト（577.22円/1時間） * 7日（168時間） = 96972.96円最小構成（3 HSMパーティション）の最低コスト（813.75円/1時間） * 7日（168時間） = 136710円 ①デフォルトVaultは最低コスト0円で利用可能

応用的なOCI Vaultの機能 OCI Vault Key Management

3-1 】各OCI Vault：機能比較 OCI固有 ①デフォルト Vault ②仮想プライベート Vault ③専用キー管理サービス ④外部キー管理サービス暗号化キー・バージョン 100（HSM保護） 1000（HSM保護） 3000（HSM保護） 100（外部保護）暗号化キー：自動ローテーション ※ × 〇〇外部HSM依存ボールト/暗号化キー：バックアップ/リストア ※ × 〇〇外部HSM依存ボールト/暗号化キー：レプリケーション ※ 〇〇 × 〇 HSMパーティション共有専用専用外部HSM依存 HSM：管理 ※ × × 〇外部HSM依存 ※ 詳細については後述

3-2 】暗号化キー：自動ローテーション以下のOCI Vaultは、自動で暗号化キーローテーションが可能。ローテーション間隔は60～365日 • ②仮想プライベートVault • ③専用キー管理サービス OCI Vault 暗号化キーの自動ローテーション OCI固有暗号化キー Ver.1 暗号化キー Ver.2 Object Storage

3-3 】ボールト/暗号化キー：バックアップ OCI固有 HSM OCI Vault バックアップ Object Storage ソフトウェア暗号化キー暗号化キーバックアップ Object Storage 以下のOCI Vaultは、バックアップが可能。 HSM保護の暗号化キーも、バックアップが可能 • ②仮想プライベートVault • ③専用キー管理サービス

3-4 】ボールト/暗号化キー：リストア OCI固有 OCI Region:AP-TOKYO-1 Tenancy OCI Region:AP-OSAKA-1 Object Storage OCI Vault リストアリストア OCI Vault 以下のOCI Vaultは、バックアップからリストアが可能。同一リージョンだけでなく、別リージョンにも、リストアが可能 • ②仮想プライベートVault • ③専用キー管理サービス暗号化キー暗号化キー

3-5 】ボールト/暗号化キー：レプリケーション OCI固有 OCI Region:AP-TOKYO-1 Tenancy OCI Region:AP-OSAKA-1 ソース OCI Vault 暗号化キーレプリケーションレプリカ OCI Vault 暗号化キー以下のOCI Vaultは、レプリケーションが可能。レプリケーション中も、FIPS 140-2レベル3のセキュリティが維持 • ①デフォルトVault • ②仮想プライベートVault • ④外部キー管理サービス

© 2025 Database Technology Inc. All Rights Reserved. 21 OCI固有
【 3-6 】HSMパーティション：管理 HSM OCI Vault 暗号化キーユーザ以下のOCI Vaultは、HSMパーティションの管理が可能。 OCI/オンプレミス環境のLinux/WindowsクライアントからHSMに接続し、暗号化キーとユーザの管理が可能 • ③専用キー管理サービス管理 HSM管理のために、クライアント設定が必要（p.22～32に記載）

HSM管理設定 OCI Vault

4-1 】HSMパーティションのアクティブ化：流れ 1. （HSMクラスタ：作成） 2. HSMクラスタ：初期化 3. HSMクライアントRPMパッケージ：インストール 4. HSMクラスタ・クライアント：設定 5. クライアント・デーモン：構成 6. ユーザ管理ユーティリティ：構成 7. 暗号化キー管理ユーティリティ：構成 8. クライアント・ユーティリティ：起動 9. デフォルトPRECOユーザー：パスワード変更 OCI固有 Linuxクライアントでの流れを説明（Windowsでの流れは、本資料では省略） HSMクラスタの作成は、 OCIコンソール画面に沿って作業（本資料では省略）

4-2 】HSMクラスタ：初期化 ⚫ OCIコンソール画面でHSMクラスタの初期化時に、CSR（証明書署名リクエスト）をクライアントにダウンロード ⚫ 以下のコマンドを実行し、パーティション所有者鍵（customerPO.key）を生成 openssl genrsa -aes256 -out customerPO.key ⚫ 以下のコマンドを実行し、パーティション所有者証明書（partitionOwnerCert.pem）を生成して、HSMクラスタにアップロード openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem ⚫ 以下のコマンドを実行し、パーティション証明書（partitionCert.pem）を生成して、 HSMクラスタにアップロード openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem OCI固有

Tips 】HSMクラスタ：アクティブ化に向けた流れ ⚫ HSMクラスタが初期化されると、アクティブ化が必要状態に変わるので、以下の作業を実施 1. HSMクラスタから、以下の情報を取得（p.28～30で利用） ⚫ DNS名 ⚫ HSMパーティションのポート詳細 2. クライアントで、HSMを管理するための設定を行う 3. デフォルトPRECOユーザーのパスワードを変更 ⚫ PRECOは、ユーザー管理操作を実行できるCO（Crypto Officer）ユーザーの準備段階 ⚫ 上記作業実施後、 HSMクラスタがアクティブ状態に変わる OCI固有

4-3 】HSMクライアントRPMパッケージ：インストール ⚫ 以下のコマンドを実行し、oci-hsm-clientパッケージをインストール sudo yum install oci-hsm-client ⚫ 以下のコマンドを実行し、以下のバイナリファイルがあることを確認 ls -al /opt/oci/hsm/bin/ ⚫ client_daemon：HSM接続用クライアント・デーモン ⚫ key_mgmt_util：キー管理用ユーティリティ ⚫ user_mgmt_util：ユーザ管理用ユーティリティ OCI固有

4-4 】HSMクラスタ・クライアント：設定 ⚫ 以下のコマンドを実行し、秘密キー（pkey-c）とCSR（pkeycsr.csr）を生成 openssl req -newkey rsa:4096 -nodes -keyout pkey-c -out pkeycsr.csr -sha256 ⚫ 以下のコマンドを実行し、署名済みpkeycsr.csr（cert-c）を生成 openssl req -newkey rsa:4096 -nodes -keyout pkey-c -out pkeycsr.csr -sha256 ⚫ 以下のコマンドを実行し、以下のファイルをコピー sudo cp {pkey-c, cert-c, partitionOwnerCert.pem} /opt/oci/hsm/data/ ⚫ pkey-c ⚫ cert-c ⚫ partitionOwnerCert.pem OCI固有

4-5 】クライアント・デーモン：構成 ⚫ 以下のコマンドを実行し、構成ファイルを開く sudo vim /opt/oci/hsm/data/client_daemon.cfg ⚫ hostnameとportを編集（他の部分は編集不要） "server": { “hostname”: “<DNS名>", “port”: <HSMパーティションのポート> }, OCI固有

4-6 】ユーザ管理ユーティリティ：構成 ⚫ 以下のコマンドを実行し、構成ファイルを開く sudo vim /opt/oci/hsm/data/user_mgmt_util.cfg ⚫ hostnameとportを編集（他の部分は編集不要） "servers":[ { “hostname”: “<DNS名>", “port”: <HSMパーティションのポート> } ], OCI固有

4-7 】暗号化キー管理ユーティリティ：構成 ⚫ 以下のコマンドを実行し、構成ファイルを開く sudo vim /opt/oci/hsm/data/key_mgmt_util.cfg ⚫ log_levelを編集（いずれか1つのログレベルを選択） { "logging": { "logfiles_location":"/opt/oci/hsm/logs", "log_level" : “<ERROR | INFO | DEBUG>" } } OCI固有

4-8 】クライアント・ユーティリティ：起動 ⚫ 以下のコマンドを実行し、構成ファイルでクライアント・デーモンを起動 /opt/oci/hsm/bin/client_daemon /opt/oci/hsm/data/client_daemon.cfg ⚫ 以下のコマンドを実行し、構成ファイルでユーザ管理ユーティリティを起動 /opt/oci/hsm/bin/user_mgmt_util /opt/oci/hsm/data/user_mgmt_util.cfg ⚫ 以下のコマンドを実行し、構成ファイルで暗号化キー管理ユーティリティを起動 /opt/oci/hsm/bin/key_mgmt_util /opt/oci/hsm/data/key_mgmt_util.cfg OCI固有

4-9 】デフォルトPRECOユーザー：パスワード変更 ⚫ 以下のコマンドを実行し、PRECOユーザーとしてサインインします。 loginHSM PRECO <ユーザー名> Enter password: **** ⚫ 以下のコマンドを実行し、ユーザー一覧を表示 listUsers ⚫ 以下のコマンドを実行し、デフォルトPRECOユーザーのパスワード変更 changePswd PRECO <ユーザー名> ⚫ 以下のコマンドを実行し、ユーザー一覧を表示して、PRECOからCOに変更されたことを確認 listUsers OCI固有

5-2 】応用的なOCI Vault：まとめ OCI固有 OCI Vault ①デフォルトVault ②仮想プライベートVault ③専用キー管理サービス ④外部キー管理サービス専用 HSM 共有 HSM 外部HSM依存機能豊富最低限の機能

© 2025 Database Technology Inc. All Rights Reserved. 36 HSM
（FIPS140-2 Level 3に準拠）【 6-1 】OCI Vault：まとめ OCI固有暗号化キー OCI Vault 暗号化キーシークレット証明書パスワード認証トークン SSHキー Database Management Object Storage ユーザ一部のOCI Vaultで、自動ローテーション可能自動ローテーション可能

© 2025 Database Technology Inc. All Rights Reserved. 37 お問い合わせ
OCIに関するお困りごとは，ぜひ弊社までご相談ください。お電話でのお問い合わせ 075-231-6131 受付時間：平日 10:00～17:00 メールでのお問い合わせ [email protected] ※お手数ですが、御社名、ご氏名、お問い合わせ内容を本文中にご記載ください。 https://www.db-tec.com/ 弊社ホームページからも、お問い合わせを承っております。 Oracleは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。

OCI Vaultについて＜応用とまとめ＞

OCI Vaultについて＜応用とまとめ＞

More Decks by Database Technology Inc.

Other Decks in Technology

Featured

Transcript