連邦情報処理標準(FIPS)とは何ですか?

FIPS(Federal Information Processing Standard)140-2は、暗号化ハードウェアの有効性を検証するためのベンチマークです。 製品にFIPS 140-2証明書がある場合は、米国およびカナダ政府によってテストされ、正式に検証されていることがわかります。 FIPS 140-2は米国/カナダの連邦規格ですが、FIPS 140-2コンプライアンスは、実用的なセキュリティベンチマークおよび現実的なベストプラクティスとして、政府および非政府部門の両方で世界中で広く採用されています。

FIPS 140-2 レベル

組織はFIPS 140-2標準を使用して、選択したハードウェアが特定のセキュリティ要件を満たしていることを確認します。 FIPS認定基準は、セキュリティの4つの増加する定性的なレベルを定義しています。

  • レベル1:生産グレードの機器と外部でテストされたアルゴリズムが必要です。
  • レベル2:物理的な改ざんの証拠と役割ベースの認証の要件を追加します。 ソフトウェアの実装は、EAL2のコモンクライテリアに承認されたオペレーティングシステムで実行する必要があります。
  • レベル3:物理的な改ざん防止とIDベースの認証の要件を追加します。 また、「重要なセキュリティパラメータ」がモジュールに出入りするインターフェイス間には、物理的または論理的に分離されている必要があります。 秘密鍵は、暗号化された形式でのみ出入りできます。
  • レベル4:このレベルでは、物理的なセキュリティ要件がより厳しくなり、改ざんをアクティブにする機能が必要になり、さまざまな形態の環境攻撃を検出した場合はデバイスのコンテンツが消去されます。

FIPS 140-2標準は、技術的にはレベル3または4でのソフトウェアのみの実装を許可しますが、検証されていないような厳しい要件を適用します。

多くの組織にとって、FIPS 140レベル3でFIPS認定を要求することは、効果的なセキュリティ、運用上の利便性、および市場での選択の間の適切な妥協点です。