HULFT と SecureZIP を一緒に使う

HULFT と SecureZIP を一緒に使う

より安全で効率的に管理されたファイル転送方法の構築する

概要

データセンターでネットワークとプラットフォーム間でファイル交換に使用する方法は数多くありますが、日本で一般的に使用されている方法の 1 つとして HULFT があります。HULFT は、一般的な FTP アクセスの代替手段として、その信頼性と品質の高さから多くの企業、団体で導入されています。

HULFT は、自動スケジューリング、チェックポイント再配信、復旧後の自動再配信などの機能により、一貫したデータ配信を行うことができます。HULFT は、ジョブ プロセスの転送フェーズ中にペイロードを圧縮および暗号化することもできます。しかし、交換するデータの処理については、高度な圧縮率や強度な暗号化プロセスは提供しません。

HULFT の長所と SecureZIP の圧縮および強度なセキュリティ機能を組み合わせることにより、データセンターは、ファイルの転送にセキュアでコスト効率に優れた転送コンテナーを提供しつつ、より効率的なジョブ フローを維持することができます。

この記事では、HULFT 環境での SecureZIP の利用についての情報を提供するだけでなく、次の分野についての情報も提供します。

• 拡張セキュリティ
• データ完全性
• コスト削減と回避

SecureZIP を HULFT のワークフローに追加すると、ユーザーは HULFT の最高の機能 (自動ファイル転送、エラー処理、監査) をすべて維持したまま、データ セントリック アプローチで移動するデータを暗号化して、プロセスの効率を最大限に高めることができます。

SecureZIP は、ZIP 圧縮と強度なセキュリティを組み合わせたデータ セントリック セキュリティ ソリューションを提供することにより、機密データの保護、デジタル署名および認証によるコンプライアンスの要件に遵守し、全体的なコストと運用上のオーバーヘッドの削減を含む、組織の日々のデータ セキュリティの課題への取り組みを支援します。

SecureZIP を HULFT 環境に追加すると、ファイルを安全に転送するより効率的な方法が提供されるだけでなく、購入した拡張機能をすべて利用することにより、既存のインフラへの投資を最大限に活用することができます。

SecureZIP 製品を HULFT 製品と組み合わせて利用する利点はさまざまです

SecureZIP のセキュリティの利点

• 既存のセキュリティへの投資を補足: ZIP または OpenPGP セキュリティ フォーマットを使用して、暗号化/復号化に X.509 証明書または OpenPGP 鍵を利用した、パスワード付きの公開鍵/秘密鍵とともに使用できます。CPACF、CryptoExpress カード (ICSF 使用) のような System z ハードウェア暗号化に加えて、インテル Xeon およびインテル Core ファミリー チップの AES-NI ハードウェア暗号化を活用します (HULFT はハードウェア暗号化をサポートしていません)。
• ICSF によるハードウェア暗号化を利用した、デジタル署名/認証機能。
• 強度な暗号化: 3DES または AES (128 ビット、192 ビット、256 ビット) アルゴリズムを使用してデータを暗号化および保護します。
• データのコントロールを維持: マスター キーにより環境内で処理された任意のデータに対する管理アクセスを提供します (HULFT はトランスポート層のセキュリティのみサポートしており、エンド ツー エンドのデータ保護はサポートしていません)。
• 一貫したポリシーの施行: PKWARE Policy Manager を使用して一貫したセキュリティ コントロールを確立します。

プロセスとパフォーマンスの利点

• アプリケーション統合: アプリケーションの処理中に、データは暗号化のために SecureZIP に直接ストリームされ、そのライフサイクルの間、保護されます。保護されていないデータがディスク上に残ることはありません。
• 既存のプロセスを中断することなく他のプラットフォームとファイルを交換: EBCDIC/ASCII 変換プロセスを合理化します。

ファイル転送時間の短縮

HULFT では、プロセスの性質により、ファイル転送にボトルネックが発生することがあります。HULFT 製品は、基本的な圧縮を行う HULFT のアルゴリズムを利用したファイル圧縮機能を提供します。
HULFT での処理の前に暗号化されたデータは、オリジナルのフットプリントにデータを残して圧縮できません。SecureZIP では、同じジョブ ステップのデータを暗号化および圧縮 (最大 95%) して、送信回数を最大 40% 削減します。セキュアな方法で同じ時間により多くのデータを管理できるため、より少ないネットワーク リソースを利用してバッチ処理をより高速に行うことができ、追加の帯域幅を不要とし、コストを削減できます。

暗号化と圧縮という SecureZIP のアプローチにより、ユーザーは単一の .ZIP アーカイブに膨大な数のファイルを含めることができます。複数のジョブを処理する必要がなくなるため、失敗した場合の対処も容易になります。

処理コストを最小化

クライアントから常に寄せられる声の 1 つは、より少ない費用でより多くのことを行う苦労に直面していることです。実際、多くの企業で IT の費用は前年度と同じであると言われています。また、予算が同じ場合でも、同時に大幅なコスト削減を示すことが求められています。一方で、処理の量は増加すると予想されているため、既存のシステムにさらに負担がかかることになります。

HULFT を利用すると、複数の場所間で毎日行われるファイルの移動を自動化でき、プロセスにセキュリティ層が追加されます。しかし、圧縮と暗号化がそのコアコンピタンスではないため、操作中に処理する負荷の量が増加し、システム全体 (特に応答時間) に悪影響を与えることがあります。

HULFT の特長

HULFT は、マルチプラットフォーム環境に対応したデータ転送ソフトウェアです。90 年代後半に市場に登場した製品で、(主にローカル イントラネット環境で) TCP/IP を利用して複数の場所間の自動データ転送を管理するために設計されました。後のバージョンには、基本的なデータの「移動中の」暗号化に HULFT により提供される 96 ビットまたは 160 ビットの鍵からなる独自の暗号化アルゴリズムを利用した、セキュアなイントラネットの外部のファイルを転送する機能が含まれています。
HULFT8 は、Windows、UNIX Linux、zLinux 環境で現在利用できます。OS/400、OS/390 および z/OS 向けに以前のバージョンも提供されています。一般に、次のような目的に利用されます。

• ダブルバイト文字を含むファイルの転送
• 管理されたより高いパフォーマンスのファイル転送
• 自動チェックポイント再配信
• ファイル転送前後のジョブ処理

HULFT はさまざまな処理を行うことができます。

• 自動ファイル転送
• 指定ディレクトリによる自動ファイル転送 (そのディレクトリにファイルがあると転送処理を開始)
• オンデマンド ファイル転送

HULFT はすべての転送ポイントでソフトウェアを利用します。各転送ポイントで各機能が利用できるようにセットアップおよびインストールする必要があります。また、ソフトウェアの機能をすべて利用するには、以下のモジュール (またはアドオン) が必要です。

• HULFTScript – MFT 自動化スクリプト (転送前後の処理も可能)
• HULFT Manager – 1 つの場所から複数のインストールを管理するサーバー ハブ
• HULFT HUB – データ転送管理サーバーおよびプロキシ サーバー インターフェイス
• DataSpider Servista – 複数のデータ プラットフォーム インターフェイス (データベースおよびモバイル環境を含む)
• HULFT Cypher – AES 128 暗号化アルゴリズム / C4S 暗号化アルゴリズム

各データ転送は、サーバーで HULFT を利用しているローカルおよびリモートの場所を含みます。2 つの場所は、TCP-IP 接続を利用して通信を行い、双方向でファイルを転送します。HULFT ソフトウェアは、独自の圧縮アルゴリズムを利用して転送するデータを圧縮します。データは転送時に圧縮され、転送後に解凍されます。異なるプラットフォーム間でのデータの後処理は、上記にリストされている追加モジュールを利用した場合にのみ可能です。
HULFT は、HULFT により提供される 96 ビット または 160 ビットの鍵からなる独自の暗号化アルゴリズムを利用した基本的なユーザー認証と暗号化を提供します。HULFT Cypher モジュールを利用すると、AES 128 または C4S 暗号化を (転送中に) 行うことができます。

SecureZIP の特長

SecureZIP は、組織のセキュリティ インフラストラクチャーを強化し、さまざまな規模のビジネスに対応する、ソフトウェア定義のアプローチです。作業方法を変更することなく、開発者およびアーキテクト向けに単純化された統合機能を、容易に組み込んで管理できます。SecureZIP は、すべてのオペレーティング システムとすべての主要なコンピューティング言語で動作し、オープン規格に基づいています。企業の内部と外部でデータを転送および保存する際に、データが安全であることを保証します。

多くの組織では、機密データの大幅な増加に直面しています。単純な圧縮および暗号化ソリューションでは、もはやジョブを完了できなくなっています。現在のコンピューティング環境には、多種多様なプラットフォームおよびオペレーティング システムが含まれています。セキュアなデータ交換を実装するコストと複雑さから、問題に取り組む費用を抑えようと妥協して逆に大きなビジネス リスクを負う企業も少なくありません。SecureZIP は、データ転送だけでなく、あらゆる局面でファイル、フォルダ、E メール形式で事実上すべての種類の機密データが保護されることを保証します。

HULFT は、圧縮と暗号化の両方に独自のアルゴリズムを利用して、独自の鍵交換による基本的なセキュリティを提供します。つまり、データは、転送プロセスが開始した後、ポイント A からポイント B に転送される間のみ安全であり、受信が完了すると元の状態に戻る (安全でなくなる) ことを意味します。HULFT は単体ではエンド ツー エンドのデータ保護機能を提供しません。

SecureZIP は、データ セントリック アプローチを利用してデータを安全にします。データ セントリック セキュリティ モデルでは、データそのものを保護し、利用している個々のエンドポイントやネットワーク セキュリティに依存しません。PKWARE は、次の 3 つのアプローチをともに利用することで、綿密なエンタープライズ セキュリティ戦略の一部として、強力で効果的なセキュリティ プランを提供できると考えています。

• データ保護
• ポリシー管理
• マスター キー (Contingency Key)

SecureZIP のデータ セントリック モデルと HULFT の自動配信モデルを組み合わせて使用すると、機密データの安全な転送と、どんな場所でもデータを保護する継続的なデータ保護モデルにより、追加のソフトウェアを使用する必要なく、事実上すべての企業のコンピューティング プラットフォームと互換性のあるフォーマットで、そのライフサイクルの間、安全にデータを保つことができます。HULFT 環境への統合機能は、データのセキュリティを作成からライフサイクルの間、維持するための効果的な方法をシームレスに作成します。

あるクライアント (金融機関) は、彼らが抱えている問題について問い合わせてきました。彼らは毎日数百万のファイルを処理していました。これらの大量のファイルは UNIX プラットフォームで生成された後、HULFT を利用するパートナーのもとへ送信されていました。クライアントにとって問題だったのは、交換するデータを転送中のみ安全にするのではなく、それらのデータがデータセンターにある間も安全にする必要があることでした。この問題では、取引先がさまざまなコンピューティング環境を利用していて、異なるプラットフォームで同じデータ (またはそのサブセット) を共有する必要があり、さらに一部のパートナーはデータを常に安全に保つ必要がありました。これらのパートナーは、パスフレーズ、X.509 証明書、OpenPGP 鍵などを利用しており、大量のスクリプトを書き直す (プロジェクトの時間と費用が増える) ことなく、複数のプラットフォームで同じデータを共有する必要がありました。

SecureZIP は、これらの 3 つの方法から任意の方法を利用できる柔軟性と、データの受信先に応じてファイルを自動的に暗号化するポリシー管理機能を提供します。SecureZIP で作成されたポリシーにより、プロダクション ジョブ ストリームのコンテキストはすべて、HULFT 環境を変更することなく、HULFT を利用して転送されます。

この手法により、プロダクション ジョブ ストリームの作成時点で自動的にアウトバウンド データに堅固なロックダウン セキュリティを適用することができます。

SecureZIP は、さまざまな方法で HULFT 環境に機能を追加します

ケーススタディー

ある小売りクライアントは、日頃から SLA 違反の報告を行っていました。彼らは zIIP 専用エンジンを備えた z10 Business Class W05 を利用していました。このクライアントは 3 時間の SLA を契約しており、HULFT6 を利用して 100 ファイル、合計 5GB のデータを移動する必要がありました。
彼らは SLA に違反するごとに 1,000 ドルの請求を受け、これらの SLA 違反のペナルティとして毎月 10,000 ドル以上の支払いを行っていました。

この状況を改善するため、SecureZIP が導入されました。SecureZIP は圧縮ワークロードを zIIP 専用エンジンにオフロードするため、クライアントは汎用プロセッサーから 90% の負荷を軽減することができました。処理時間は約 15 分、転送時間は 10 分と、オリジナルの 3 時間から大幅に短縮されました。

クライアントは、アプリケーションのプログラミングを変更することなく、ジョブ ストリームにステップを追加 (実際には JCL の数行を変更) することにより、この成果を達成することができました。HULFT6 の構成は同じままです。

このクライアントは、大幅に低下した CPU サイクルを利用してより多くのプロセスを効率的に実行できるようになったことで、これまで毎月 10,000 ドル以上支払っていた SLA 違反のペナルティを支払わずにすむようになりました。

別の小売りクライアントは、本部の IBM i ミッドレンジ システムで処理するため、店舗で収集したクレジット カード取引データを本部に送信しています。バックアップ要件は、インターネット回線で HULFT によるビジネスを継続的に行うためのプロダクション ボックスから開発マシンへの毎日のオブジェクト ミラーリング、およびテープによるオフサイト ストレージへの機密顧客データの夜間バックアップからなります。バックアップの処理時間は継続的な課題であり、データ量の増加とともに、処理時間内に完了することが困難になりました。彼らはファイル転送スケジュールの管理に HULFT を利用していましたが、最も効率的なスループットを得られていませんでした。クライアントは (彼らのネットワークの予算が例年通りであったため) ネットワークの帯域幅を単純に増やすことはできませんでした。また、財務レコード データを扱う際のセキュリティ基準である PCI コンプライアンスに準拠する必要もありました。
我々は、SecureZIP を HULFT ジョブ フローに追加することを提案しました。SecureZIP は、圧縮、暗号化、および SAVF ファイル作成を 1 つのステップに組み合わせて、CPU 使用率を最小限に抑えます。また、インターネット回線を利用しないでネットワーク上の開発ボックスに接続できるため、プロジェクトのコスト削減にもつながります。

IBM i PKWARE Save/Restore Application (iPSRA) 機能により、SecureZIP は、IBM i の保存ファイルを直接 ZIP アーカイブに圧縮/暗号化することができます。iPSRA 機能は、中間ステップを省略することにより、時間とディスク容量を節約します。iPSRA は、保存データを減らすだけでなく、オフサイト ストレージのデータを安全にします。このデータを安全にする方法により、意図した受取人あるいは情報の保護に利用できない、互換性のない特定のハードウェア テクノロジに依存することを防ぎます。iPSRA プロセスは 1 回の圧縮実行で複数の保存操作を実行できるため、個々の保存コマンドを繰り返し実行する必要はありません。
クライアントは、これまで 10 時間かかっていたプロダクションから開発システムへの FTP による夜間のファイル転送を 5.5 時間で完了できるようになりました。プロダクション ジョブ ストリームの自動化を維持するため、HULFT のスケジューリング機能の利用は継続しています。

多くの大手の小売業者と取引を行っている、ある決済処理会社は、大量の機密データを処理しています。その取引先はさまざまなクラウド プロバイダーを利用してデータを保存しているため、AES-256 モードで暗号化することに決めました。HULFT は、基本製品の一部として AES-256 ビット暗号化を提供していません。SecureZIP を追加して AES-256 モードを自動的に利用するように設定すると、このモードに対応したワークロード (この場合は対応したコントラクター) が作成されます。このクライアントは、さまざまな大量のハードウェア コンピューティング環境を所有しており、ソフトウェア パッケージを追加することなく、またプラットフォーム間の処理を可能にするために膨大なプログラミングの労力を費やすことなく、それぞれの環境で AES 256 ビット暗号化を利用できるようにする必要がありました。SecureZIP は、さまざまなハードウェア オペレーティング システム プラットフォームでネイティブに実行でき、すべての機能を活用して、各プラットフォームで提供されている最も効率的な圧縮および暗号化を行うことができます。処理量が大幅に減るため、より高価なメインフレームの汎用プロセッサーではなく、最小のモバイル プラットフォームで処理が可能になります。これらの処理は、HULFT システムで利用できる最小のデータ フットプリントを作成して、AES-256 ビット準拠で行われます。

あるクライアントは、分散プラットフォームで HULFT を利用した大量のファイル転送を行っていました。彼らは、契約上、多くの顧客へのデータ配信に対して、非常に厳しい SLA を義務付けられていました。ネットワーク環境が貧弱な地域の一部の顧客でジョブ失敗が発生し、ネットワーク問題によるボトルネックが操業中に発生すると、絶えず SLA のデッドラインを超えていました。転送フェーズ中にジョブ失敗が発生すると、複数のジョブがキューに溜まり、データを正常に転送するには複数のジョブを再起動する必要がありました。

このクライアントは、SecureZIP を HULFT ワークフローに実装して、HULFT の転送フェーズに達する前のジョブ プロセス中に多くのファイルを 1 つのファイルに圧縮しました。これまで処理に 2 時間以上かかっていた 10GB のファイルは、以前利用していたものとほぼ同じネットワーク インフラストラクチャーで約 12 分で処理できるようになりました。クライアントは、これまで 1 つのジョブを転送するためにかかっていた時間よりも短い時間で、ジョブ ストリーム全体を処理できるようになりました。

処理コストを最小化

ある金融機関の顧客は、大量の暗号化されたファイルを毎日処理しています。彼らは常に支出状態にあり、より少ない費用でより多くのことが行える方法を求めていました。彼らは 2 つの問題を抱えていました。まず、一日中、何度もピーク処理状態に達していたため、応答時間が契約の範囲を超えてしまうことがよくありました。また、さまざまなコンピューティング プラットフォームを利用していたため、新しいクライアントを追加するには、数週間、場合によっては数カ月の開発期間およびリソースが必要でした。

このクライアントは、すでに HULFT を利用してファイル転送プロセスを管理していましたが、クライアント ベースの暗号化手法およびハードウェア プラットフォームが非常に異なっていたため、新しいクライアントを追加するたびに独自のセットアップを行う必要がありました。彼らは、ビジネスを成長させてクライアントを追加するには、既に多額の投資を行ったプロダクション環境に対する予算をさらに増やすか、追加の罰金や新しいクライアントの追加プロセスに関連する追加の人件費を覚悟する必要があるというジレンマに陥っていました。

SecureZIP は、応答時間を維持しながら、追加される新しいクライアントに関係なく、単一の、繰り返し可能なプロセスを作成できる、新しい処理を効率的に作成する機能を企業に提供します。SecureZIP を使用することにより、この企業では、システムの保守と HULFT のスループットを最大限にするために必要だった、追加のサーバー環境に対する数百万ドルの投資を回避することができました。

SecureZIP は、OpenPGP、X.509 証明書およびパスフレーズを新しいクライアント契約として利用できます。大量の単一ファイルの転送を 1 つのファイルに圧縮して暗号化することにより、多くのポイントで障害が発生する可能性を排除し、多くのプロダクション ジョブを一括処理します。SecureZIP はすべての主要なハードウェア コンピューティング プラットフォームで動作するため、企業の事業部門は、(数周ではなく) 数日で新しいクライアントを追加できる、繰り返し可能なプロセスを用意することができます。また、これまでプロセスを追加するために割り当てられていたリソースを、他の収益を生み出すプロジェクトに向けることができます。

まとめ

PKWARE 製品を HULFT と組み合わせて利用する利点はさまざまです

プロセスとパフォーマンスの利点

• ファイル サイズを最大 95% 縮小: ZIP 圧縮により、ファイル サイズが最大 95% 縮小されるため、転送にかかる時間や貴重なシステム リソースを節約できます。
• アプリケーションの統合: アプリケーションの処理中に、データは暗号化のために SecureZIP に直接ストリームされ、そのライフサイクルの間、保護されます。保護されていないデータがディスク上に残ることはありません。
• 既存のプロセスを中断することなく他のプラットフォームとファイルを交換: EBCDIC/ASCII 変換プロセスを合理化します。
• zIIP をサポート: IBM z Integrated Information Processors (zIIP) へ処理をオフロードして、汎用プロセッサーの負荷を解放し、選択したワークロード計算の総コストを抑えます (HULFT は zIIP 圧縮をサポートしていません)。
• zEDC をサポート: IBM zEnterprise Data Compression (zEDC) へ処理をオフロードします。zIIP と同様に、圧縮ワークロードを zEDC カードに送り、汎用プロセッサーの負荷を解放します (HULFT は zEDC 圧縮をサポートしていません)。

セキュリティの利点

• AES-NI をサポート: SecureZIP は、インテル Xeon、およびインテル Core プロセッサー ファミリーの最新のパフォーマンス拡張機能を利用します。
• 既存のセキュリティへの投資を補足: ZIP または OpenPGP セキュリティ フォーマットを使用して、暗号化/復号に X.509 証明書または OpenPGP 鍵を利用した、パスフレーズ付きの公開鍵/秘密鍵とともに使用できます。
• CPACF、CryptoExpress カード (ICSF 使用) のような System z ハードウェア暗号化を活用します (HULFT は ICSF によるハードウェア暗号化をサポートしていません)。
• デジタル署名/認証機能。
• データのコントロールを維持: マスター キーにより環境内で処理された任意のデータに対する管理アクセスを提供します (HULFT はトランスポート層のセキュリティのみサポートしており、エンド ツー エンドのデータ保護はサポートしていません)。
• 一貫したポリシーの施行。

HULFT ソフトウェア環境の追加では、ファイル転送プロセスの管理および送信しているファイルの継続的なセキュリティも考慮します。SecureZIP のファイル レベルの手法は、処理しているデータのライフサイクル全体にわたってファイルの圧縮および暗号化を維持し、バッチ環境でファイルを作成するプロセスの自動化を維持します。

PKWARE のクライアントは、SecureZIP を利用して HULFT の処理に入る前にファイルを圧縮して保護することにより、「より少ない費用でより多くのことが行える」環境を維持しながら、安全な処理が必要な新しいプロジェクトの実装時間を短縮できることを知っています。

SecureZIP の処理は、実処理時間および CPU 時間を大幅に削減し、既存のプロダクション シナリオに投資した最小限のプログラム リソースを利用する、安全で要件に準拠したプロセスを提供することにより、契約した SLA の要件を適切に守ることができます。

SecureZIP のプロセスは、作成されるファイルが最小のフットプリントになり (ファイルサイズを最大 95% 圧縮)、暗号化 (AES 256 ビットの強度な暗号化) ZIP または OpenPGP コンテナーで暗号化することを保証します。

SecureZIP で処理したデータは、HULFT ソフトウェアによるファイル転送に最も効率的で最も安全なコンテナーを作成するため、圧縮、暗号化およびデジタル署名の処理中の CPU 使用率が最小になります。

以下、一般的な HULFT/SecureZIP のプロセスの例です。