連邦情報処理標準(FIPS)の改訂版FIPS 140-3は、2019年3月に米国商務長官によって承認され、暗号モジュールを認定するための新たなセキュリティ基準を定義しています。
同標準は元々、2001年にFIPS 140-1からFIPS 140-2へ改訂されました。タレスは、鍵管理を組み合わせた暗号化アクセラレータ、HSM(ハードウェアセキュリティモジュール)に対するFIPS 140-2レベル3認証を初めて取得した企業として、また最多のNIST FIPS認証取得数を誇るHSMベンダーとして、この将来のFIPS標準についてご紹介しわかりやすく解説いたします。
FIPS 140標準は米国国立標準技術研究所(NIST)によって定義され、暗号モジュール認証制度(CMVP)の一部として米国とカナダの両方によって管理される、暗号モジュールに対する一連のセキュリティ要件です。多くの政府機関のアプリケーションに対する鍵の保護と暗号化操作の実行には、FIPS 140で認証されたモジュールが必須となっています。実際のところFIPS 140で認証されたHSMは、暗号化インフラストラクチャを保護する際に信頼性を保証するため、他の多くの国々や民間セクター、特に金融・決済業界で事実上の業界標準になっています。
FIPS 140-2が現行版で、2001年5月から使用されています。同標準は4段階のセキュリティレベルと、鍵管理、インターフェース、役割、サービスと認証、オペレーティングシステムを含む暗号化製品の設計と実装に関する11種の領域を定義しています。FIPS 140-2の詳細については、タレス Luna HSMを使用した規制準拠の確実な達成に関するブログ記事をご覧ください。
FIPS 140-3は、既存の国際標準に基づきながら以下のような変更を加えたもので、今後FIPS 140-2に取って代わることになります。
FIPS 140-3のスペシャルパブリケーションには派生テスト、ドキュメンテーション、セキュリティポリシー、セキュリティ機能、セキュリティパラメータ、認証、非侵襲的攻撃の軽減といったさまざまな要件に関する情報が含まれています。変更の多くはまだ確定されていませんが、その中には次のような興味深い変更が含まれます。
FIPS 140-2は今後もしばらくの間は有効です。2021年9月22日までは、モジュールをFIPS 140-2に提出して検証を受けることができます。既存のFIPS 140-2証明書は移行に際して取り消されることはなく、FIPS 140-2認証を受けたモジュールは、さらに2026年9月まで5年間有効です。
CMVPは2020年9月22日に、FIPS 140-3への提出の受け付けを開始します。2021年9月22日以降は、FIPS 140-3への提出のみが受け付けられます。
FIPSコンプライアンスは、機密情報を保存・収集する規制対象の業界で働くにあたり必要不可欠です。タレスはその重要性を認識しており、暗号モジュールユーザーフォーラム(CMUF)といったFIPS 140-3の定義をサポートするフォーラムやワーキンググループに積極的に参加しています。同グループは、CMVPの改善点を特定するためにラボ、ベンダー、CMVPの間で設立されたもので、ドキュメントを作成し、詳細な試験要件をISO 24759にマッピングします。
当分の間は、お客様側に必要な行動は特にありません。現在、すべてのタレス Luna HSMはFIPS 140-2レベル3認証を取得しており、耐タンパー性ハードウェアの信頼の基点によって、高保証の暗号鍵とデジタルID保護を提供しています。タレスは、お客様とパートナーがFIPS 140-3認証のメリットを享受できるよう、引き続き同認証の実現に対して取り組んでいきます。これまでと同様に、FIPS 140-3の初期採用者は、試験と実装において課題に直面することが予想されますが、FIPS 140-3を明確化し簡単に理解いただけるようサポートすることをお約束します。Luna HSMがこの新たな標準に認証された際には、簡単に移行できるようにいたします。
タレスの製品提供において、コンプライアンスと認証は常に重要な部分を成しており、タレス Luna HSMはFIPS 140だけでなく、コモンクライテリア(CC)、電子識別、認証およびトラストサービス(eIDAS規則)、シンガポール国家情報技術セキュリティ評価スキーム(NITES)、ブラジルITIなどの認証も取得しています。
タレスが提供するFIPS 140-3認証取得済みの新製品への移行サポートの詳細については、弊社までご連絡ください。また、FIPS 140-3マイルストーンの進捗について、弊社のブログや情報をご覧ください。
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。