テーマ② HULFT8.4 新機能 高強度暗号強制モード

【運営】セゾン情報システムズ
作成日時: - 更新日時:
Avatar
あなたはHULFTの環境構築担当者です。
新機能の高強度暗号強制モードを有効とした環境を構築し、確実なデータ転送を実施しましょう。

詳細要件

A社とB社はデータ送受信をHULFTで行なっています。
ある日、B社から「セキュリティ向上のため高強度暗号強制モードを有効にしたい」という申し出がありました。
A社内の既存HULFT運用環境とのデータ連携を考慮しながらどのように、高強度暗号強制モードを有効としたB社とデータの送受信を可能とする、HULFT環境を構築すればよいでしょうか?

_1.png

ヒントじゃ!
新機能: 高強度暗号強制モードとは、通信先ホストに高強度暗号(AES暗号)を強制できるモードじゃ。
さらなるセキュリティの向上が期待できるぞい!
しかし、高強度暗号強制モードを使用するとすべてのファイル転送が強制暗号の対象となるので、B社以外とのファイル転送に影響が出ないように、構築する際は工夫が必要じゃ。
 

模範解答

A社は、B社との他にもHULFTを利用しています。B社とのために高強度暗号強制モードを有効としてしまうと他のファイル転送ができなくなります。そこで、B社とのファイル転送は、同じOS内に高強度暗号強制モード有効用のHULFTを構築していきます。
 
この場合、B社からは、簡易転送による配信要求を発行するのみです。
A社では、B社からの簡易転送を受付けるための設定を行っておく必要があります。

使用環境

OS
Windows Server

使用ソフトウェア

会社 HULFT
自ホスト名
ソフトウェア/
インストール先
バージョン 集信ポートNo. 要求受付ポートNo. 備考
A社 hulft01 HULFT8 for Windows-Server/
C:\HULFT Family\hulft8
Ver.8.4.0 30000 31000  
hulft01_strongkeymode HULFT8 for Windows-Server/
C:\HULFT Family\hulft840
Ver.8.4.0 30840 31840 A社高強度暗号強制モード有効用
B社 hulft02 HULFT8 for Windows-Server/
C:\HULFT Family\hulft8
Ver.8.4.0 30000 31000  

使用ファイル

件名 ファイルパス
作業フォルダ C:\WORK\02_高強度暗号
A社側配信ファイル C:\WORK\02_高強度暗号\SND\test.txt
B社側集信ファイル C:\WORK\02_高強度暗号\RCV\test.txt

流れ

  以下の流れは、あくまでも一例となります。

  1. 【A-B社】ファイル転送が出来ることを確認
  2. 【A社】高強度暗号強制モード有効用のHULFTを構築(同OS内に複数起動)
  3. 【B社】高強度暗号強制モードを有効に変更
  4. 【A-B社】A社既存環境とのファイル転送がエラーになることを確認後、両社で暗号キーを設定
  5. 【B社】配信先をA社高強度暗号強制モード有効用HULFTへ変更し、ファイル転送
  6. 【A社】B社配信時は、高強度暗号強制モード有効用HULFTになるよう設定変更

手順

  1. 【A-B社】ファイル転送が出来ることを確認

    A社HULFTの管理画面を起動し、既存のファイルID「TEST」の配信要求を発行し、転送が正常終了することを確認します。配信側では、AESオプションがないため、暗号化種別は「HULFT」になっています。

    _2.png

  2. 【A社】高強度暗号強制モード有効用のHULFTを構築(同OS内に複数起動)

    同一環境(OS)にHULFTを複数インストールします。インストール先、ポートNo.、自ホスト名はすべて異なるように指定します。この際、インストールするHULFTにAES暗号オプションが入っていることが必須になるので注意です。
    HULFTの管理情報は、utligenコマンド、utliupdtコマンドにて移行します。B社へ転送するファイルIDが移行されていることを確認してください。

    _3.png

    _4.png

  3. 【B社】高強度暗号強制モードを有効に変更

    高強度暗号強制モードを有効にしますが、HULFT管理画面からは、以下のようにグレーアウトしており変更することは出来ません。これは、安易に変更を行うと運用に影響を及ぼすことが考えられるため画面からの変更は出来ないようになっています。

    _5.png

    そのため、変更する場合は、システム動作環境設定ファイルを直接編集する必要があります。

    パス: HULFTインストールディレクトリ/etc/hulenv.cnf

    #
    # システム動作環境設定ファイル
    # HULFT Ver.8
    #
       ・
       ・
       ・
    ########################
    # セキュリティ
    ########################
       ・
       ・
       ・
    # 高強度暗号強制モード
    # 0: 高強度暗号強制モードを無効にする
    # 1: 高強度暗号強制モードを有効にする
    strongkeymode = 1

    システム動作環境設定を変更したため、HULFTサービスを再起動します。その際、HULFT管理画面も再起動してください。管理画面を再起動することにより配信、集信管理情報の暗号キー入力ボックスも更新されます。

    _6.png
    既存運用環境 (暗号キーを持つ管理情報が登録済み) のモードを変更した場合、「%ERROR」表示となることがあります。

  4. 【A-B社】A社既存環境とのファイル転送がエラーになることを確認後、両社で暗号キーを設定

    A社からファイルID「TEST」の配信要求を発行し、以下のようになることを確認します。

    《配信側(A社)》
    完了コード「333450(00546)」となり、集信側エラーであること
    《集信側(B社)》
    完了コード「108546(00002)」となり、暗号キーの長さに問題があることを

    高強度暗号強制モードを有効とした場合、暗号キーは省略不可となり、64桁の16進数文字列で暗号キーを指定する必要があります。

    A社においても高強度暗号強制モード有効用HULFTの強制モードを有効にします。

    A社では、配信管理情報、B社では集信管理情報に暗号キーを以下のように「1234567890123456789012345678901234567890123456789012345678901234」と設定します。

    _7.png

  5. 【B社】配信先をA社高強度暗号強制モード有効用HULFTへ変更し、ファイル転送

    B社のHULFT管理画面を起動し、以下の詳細ホスト情報を新規登録します。
    _8.png

    B社HULFT管理画面から転送グループ情報でA社ホスト(hulft01)を指定している箇所をすべて「hulft01_strongkeymode」に変更します。

    上記変更後、ファイル転送を行い正常終了することを確認します。

  6. 【A社】B社配信時は、高強度暗号強制モード有効用HULFTになるよう設定変更

    A社既存環境は、これまで通り運用で問題ありませんが、B社へ対しては、これまでに構築した環境を利用する必要があるため、配信するHULFTを変更する必要があります。
    コマンド実行による配信を行っている場合、フルパスでコマンド実行、または環境変数を使用してコマンドを実行していることがあるため、インストールパスを修正する必要があります。

まとめ

いかがでしたでしょうか。
HULFT8.4.0では、高強度暗号強制モードを使用することにより、転送データを必ずAESで暗号化するため、セキュリティが向上します。また、1拠点のみ高強度暗号強制モードが発生した場合も同一環境に高強度暗号強制モード用のHULFTを複数起動させることにより既存環境を活かしつつ運用していくことも可能です。是非、体験してみてください。
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

コメント