詳細はこちら

    FIPS PUB 140-2とは?

    「FIPS PUB」とは、Federal Information Processing Standards Publication(連邦情報処理規格)の略語です。「140-2」は「暗号化モジュールのセキュリティ要件」という規格に相当します。 FIPS 140-2は従来のFIPS 140-1を代替する規格です。 この規格は米国 国立標準技術研究所(NIST)が、コンピューターと通信システムの暗号化モジュールに関する一般要件の概要を規定するために作成しました。 暗号化モジュールは、暗号化、復号化、デジタル署名、認証技術、乱数生成などの暗号化機能を実装するハードウェア、ファームウェア、ソフトウェアの任意の組み合わせと定義されています。 FIPS PUB 140-2のセキュリティ要件は、暗号モジュールの設計と実装に関連する11の領域をカバーしています。 ほとんどの領域に関し、要件の達成状況に応じて暗号化モジュールのセキュリティレベル(1を最低とする4段階評価)が評価されます。

    この規格が重要な理由は?

    米国、カナダの連邦政府と業界の情報技術セキュリティ専門家には、FIPS PUB 140-2セキュリティ要件で検証済みの暗号化製品が、機密性の高い未分類情報の保護に安心して使用できるという共通認識があるからです。 新しい暗号化製品を情報保護に使用する場合、FIPS PUB 140-2で検証することが、ほとんどの組織や機関で義務付けられています。 米国(NIST)とカナダ(CSE)の連邦政府は共にFIPS PUB 140-2を採用しています。 FIPS 140-2の「適用」条項には、次のように記載されています。

    「1996年の情報技術管理改革法の5131条、公法104-106で定義されているとおり、この規格は暗号ベースのセキュリティシステムを使用してコンピューターや通信システム(音声システムを含む)の機密情報を保護する連邦政府機関すべてに適用されます。 この規格は、連邦の省庁が運用する、または代理人が連邦の省庁との契約に基づき運用する暗号化モジュールの設計と実装に適用されるものとします。 機密情報の処理が認められた暗号化モジュールは、この規格に照らして検証されたモジュールを代替できます。 この規格の採用および使用方法を民間および商業組織は利用できます……」

    検証には何が含まれていますか?

    FIPS 140-2の検証テストは、カナダ政府のNISTとCommunications Security Establishment(CSE)で作成された暗号化モジュール検証プログラム(CMVP)に該当します。 CMVPに基づくテストはすべて、National Voluntary Laboratory Accreditation Program(NVLAP)に沿ってFIPS 140-1とFIPS 140-2のテスト方式の認定を受けた第三者の実験施設で実施し、該当するベンダーが、製品のサンプルと設計仕様書を提出します。 テストを担当する実験施設は、製品に対して一連のテストを実行するとともに仕様書を確認し、FIPS PUB 140-2の定める規則に即して設計されていることを確認します。

    このプロセスの間に、製品と仕様書を次の観点で確認します。

    • 暗号化モジュールの仕様
    • 暗号化モジュールのポートとインターフェイス
    • 役割、サービス、認証
    • 有限状態モデル
    • 物理的セキュリティ
    • 動作環境
    • 暗号鍵管理
    • 電磁干渉/電磁両立性(EMC/EMI)
    • セルフテスト
    • 設計保証
    • その他の攻撃を緩和する機能

    ソフトウェアは検証対象ですか?

    はい。 暗号化モジュール全体が検証対象です。 このEntrustの暗号化モジュールプログラムを実行しているPCでは、PC自体、オペレーティングシステム、暗号化ソフトウェアがすべてモジュールの一部と見なされ、まとめてテストを受けます。

     

    検証でどのような価値を獲得できますか?

    暗号化製品は根本的に複雑であるため、製品が宣伝どおりに機能し、実際に安全な方法でデータを保護していると信じる以外、ユーザーの選択肢は昔も今もほぼありません。 ユーザーは検証により、第三者独立機関が製品を精査し、厳格なセキュリティ要件に準拠していることを確認し、安心して使用できます。

     

    どのバージョンがFIPS 140検証に合格していますか?

    Entrustは早期からこの規格を採用してきました。 Entrust Cryptographic Kernel V. 1.9は、検証に合格した最初の製品となりました。公式証明書は1995年10月12日に、メリーランド州ボルチモアで開催された全国情報システムセキュリティ会議で授与されました。 執筆時現在でEntrustには、検証リストに登録されている暗号化モジュールが21種類あります。

     

    処理にどのくらい時間がかかりますか?

    検証には通常3か月以上かかり、場合により1年以上かかることもあります。 評価される製品の性質(ハードウェア、ファームウェア、ソフトウェアのいずれか、複雑さ、使用アルゴリズム数、プログラミング言語など)に大きく依存します。

    FIPS 140-2に関する補足情報

    FIPS 140-2規格、派生したテスト要件、検証プロセスの詳細については、CygnaComソリューションのWebサイトを参照してください。