暗号化のベストプラクティス

データ暗号化と復号化の完璧なプロセスを確保するために、以下の推奨事項を検討してください。

パスワード

パスワードを作成するときは、次の推奨事項に注意してください。

  1. 解読や推測が難しい強力なパスワードを使用します。
    • パスワードは8文字以上にする必要があります。
    • パスワードに大文字と小文字を含める必要があります。
    • パスワードはアルファベット、数字、および句読文字の組み合わせである必要があります。
    • 以前に使用したパスワードと大幅に異なっている必要があります。
    • 生年月日、ペットの名前、ログオン名など、個人に関する実際の情報をパスワードに含めないでください。
  1. パスワードを思い出すのに役立つ、意味のあるヒントをパスワードに指定します。暗号化されたファイルまたはテープをバックアップサーバーにインポートし、解除しようとすると、パスワードのヒントが表示されます。
  2. パスワードを安全な場所で保管します。パスワードを紛失した場合や忘れた場合、暗号化プロセスでEnterprise Managerキーを使用している場合を除き、このパスワードで暗号化されたバックアップまたはテープからデータを復元できなくなります。
  3. 暗号化されたジョブのパスワードを定期的に変更します。複数のパスワードを使用すると、暗号化のセキュリティレベルを高めるのに役立ちます。

パスワードなしのデータ復元

Veeam Universal License(または従来のソケットベースのライセンス、Enterprise以上のエディション)を使用している場合、バックアップサーバーをVeeam Backup Enterprise Managerに接続します。 この場合、Veeam Backup & Replicationが暗号化プロセスでEnterprise Managerキーを使用するため、パスワードを紛失した場合や忘れた場合でも、暗号化されたバックアップおよびテープからデータを復元できます。

Enterprise Managerキーセットに関する次の推奨事項に注意してください。

  1. 新しいEnterprise Managerキーセットを定期的に作成してアクティブ化します。キーセットをアクティブ化すると自動的に、Enterprise Managerパブリックキーが、Veeam Backup Enterprise Managerに接続されているバックアップサーバーに伝播されて、これらのサーバー上の暗号化されたジョブに使用されます。
  2. Enterprise Managerキーセットのバックアップのコピーを作成して、安全な場所に保管します。何らかの理由でVeeam Backup Enterprise Manager のインストールが停止した場合、Enterprise Managerプライベート・キーを紛失することになります。その結果、パスワードなしに、Veeam Backup Enterprise Managerの機能を使用して、バックアップおよびテープからデータを復元させることはできません。

パスワードなしのデータ復号化の詳細については、「パスワードを使用しないデータの復号化」を参照してください。

既存のジョブの暗号化

バックアップコピーのジョブを除く既存のジョブの暗号化を有効にすると、次のジョブセッション中に、Veeam Backup & Replicationによってフルバックアップファイルが自動的に作成されます。バックアップチェーン内に作成されたフルバックアップファイルと以降の増分バックアップファイルは、指定のパスワードを使用して暗号化されます。

既存のバックアップコピーのジョブの暗号化設定を変更すると、アクティブフルバックアップを手動で作成する必要があります。詳細については、「アクティブフルバックアップの作成」を参照してください。

暗号化は遡及的ではありません。既存のジョブの暗号化を有効にした場合、Veeam Backup & Replicationでは、このジョブで作成された以前のバックアップ・チェーンは暗号化されません。暗号化されていない以前のチェーンを暗号化された新しいチェーンから分離できるように、新しいチェーンを開始するには、このVeeamナレッジベースの記事に従います。

既に暗号化されているジョブのパスワードを変更すると、次のジョブセッション中に、 Veeam Backup & Replicationによって、新しい増分バックアップファイルが作成されます。バックアップチェーン内の作成されたバックアップファイルと以降のバックアップファイルは、新しいパスワードを使用して暗号化されます。

複数のパスワードを使用して暗号化されたバックアップを解除するには、次のように復号化する必要があります。

  • メタデータファイル(VBM)をインポートする場合は、バックアップチェーン内でファイルを暗号化するために使用した最新のパスワードを指定します。
  • フルバックアップファイル(VBK)をインポートする場合、バックアップチェーン内でファイルを暗号化するために使用したパスワードセット全体を指定します。

詳細については、「パスワードを使用するデータの復号化」を参照してください。