【できるIBM i 7 .6】第1回「IBM i 7.6 ASP1暗号化」

IBM i 7.6が2025年4月に発表されました。
IBM i 7.2以降は、TR（Technology Refresh）と呼ばれる複数のPTFからなるパッケージを適用することで、ゆるやかに機能拡張し続ける方式に改められています。これまで、TRは基本的には春と秋の年2回提供されています。ですので、IBM i 7.6においても目新しい機能が大幅に増えた、というよりも2024年9月出荷開始のIBM i 7.5 TR5から、きめ細かな機能拡張があった、と説明する方が実際的だと思われます。

上述のように申し上げつつも、IBM i 7.6では画期的な機能拡張がいくつか行われています。その最たるものは、IBM i 統合MFA(多要素認証)機能でしょう。
IBM i 7.5以降、IBM i はセキュリティーの強化に特に注力してます。今回は、IBM i 7.6で新しく追加されたASP1暗号化について紹介します。

IBM i のASPとは

IBM i のストレージ管理単位であるASP（Auxiliary Storage Pool：補助記憶域プール）には大きく3種類があります。（図1）

図1. ASPの種類

IBM i 7.5でもユーザーASPの暗号化は可能でしたが、IBM i 7.6ではシステムASP(ASP1)も暗号化できるようになりました。
システムASP(ASP1)は、IBM i OSのブートドライブを含む、IBM i OSの基本的なオブジェクトが格納されるストレージ領域です。
(対してASP2以降（IASP含む）にはOSのブートに必須のシステムオブジェクト等は存在しません。)
今回の拡張で、IBM i OSが管理するすべてのストレージを（ソフトウェアレイヤーで）暗号化する事が可能となりました。

ASP暗号化に必要なライセンスプログラムは　5770-SS1 Option 45 – Encrypted ASP Enablement　で、IBM i 7.6ではIBM i OSに無償バンドルされ、追加費用・追加オーダーは不要です。

ASP1暗号化の際のオーバーヘッド

これもRedbookに記載がありました。「公式なデータではなく、あくまで一例として」と但し書きがありますが、ASP1暗号化におけるオーバーヘッドについて、

ASP1 暗号化手順(概要)

Redbook記載のASP1暗号化手順の概略をご紹介します。
事前に、前提ライセンスプログラムである、5770-SS1 オプション45 – 暗号化ASP有効化を導入します。

操作はDST/SST操作が可能なユーザー・プロフィールで実施します。

以下のASP暗号化手順はシステム稼働中も実行可能ですが、業務処理ピーク時などはパフォーマンスに影響があるので避けることを推奨する、との記載もあります。

また、暗号化処理を途中で中止することも可能ではあるが、よほどの理由がない限り推奨しない旨の記述もあります。一例として、ASP1暗号化実施中にIPLが必要になったケースを想定すると、いったんASP1暗号化をキャンセルして、その後にIPL実行が必要になる。ASP1暗号化のキャンセル（複合化： Decrypting）には長時間が必要、との記載もあるので、暗号化作業の実施は所要時間を十分考慮する必要があります。

操作手順

1.STRSSTでSST画面を起動

2.オプション3, Work with disk Units を選択

3.オプション2, Work with disk configuration を選択

4.オプション11, Work with encryption を選択

5.オプション 4, Start encryption on ASPs　を選択

6.オプション1 to start ASP Encryption を実行

暗号化処理中は以下のように進行状況が表示されます。

ASP1暗号化処理状況の確認

上記コマンド投入後に、ASP1暗号化の状況を確認するには、上記の5.の画面で、オプション 1. Display encryption status を選択します。

エンターキーを押すと暗号化のステータスが表示されます。

ASP1暗号化が完了すると、下図のようにStatusが encrypted と表示されます。

IBM i セキュリティー機能一覧

IBM i 7.6レベルでのセキュリティー機能の一覧は、下図のようになります。

筆者