banner

FIPS 140-2とは何ですか?

FIPS 140-2とは何ですか?

 

FIPS(Federal Information Processing Standard:米国連邦情報処理規格)140-2は、暗号化ハードウェアの有効性を検証するためのベンチマークです。製品がFIPS 140-2認定の場合、その製品が米国政府とカナダ政府によってテストされ、正式に検証されていることを示しています。FIPS 140-2は、米国とカナダの連邦規格ですが、FIPS 140-2コンプライアンスは、実用的なセキュリティベンチマークおよび現実的なベストプラクティスとして、世界中の政府および非政府機関において広く採用されています。

各組織はFIPS 140-2規格を利用することで、対象のハードウェアが所定のセキュリティ要件を満たしていることを確認できます。FIPS認定規格は、次の4段階(数字が大きいほどレベルが高い)の定性的なセキュリティレベルを定義しています。

Level 1: 本番環境グレードの機器と外部テストを受けたアルゴリズムが求められます。

Level 2: 物理的タンパーエビデンス措置およびロールベース認証に関する要件が追加されます。ソフトウェアは、コモンクライテリアEAL2に認定されたオペレーティングシステム上で実装されている必要があります。

Level 3: 物理的タンパーレジスタンス措置およびIDベース認証に関する要件が追加されます。また、「重要なセキュリティパラメータ」をモジュールに受け渡しするインターフェイス同士を物理的または論理的に分離することも求められます。秘密鍵の入出力は、暗号化が必要です。

Level 4: このレベルでは物理的なセキュリティ要件がさらに厳格になり、タンパーアクティブであることが要求され、さまざまな形態の環境攻撃を検出した際にデバイスのコンテンツを消去することが求められます。

FIPS 140-2規格は、技術的には、Level 3やLevel 4におけるソフトウェアのみでの実装を認めていますが、適用される要件は非常に厳しく、認可されたものはまだ存在しません。

効果的なセキュリティ性能、運用上の利便性、市場での選択肢という現実的なバランスを考えると、多くの組織にとって、FIPS 140 Level 3のFIPS認証が最適だと思われます。

タレスのFIPS140-2準拠ソリューション

  • タレス HSM(ハードウェア セキュリティ モジュール)シリーズ
    タレスはHSMの世界トップベンダーとして、汎用、決済用など様々なFIPS140-2準拠HSMシリーズを提供しています。タレスのHSMは世界の金融取引の80%を保護し、政府における個人情報保護の信頼の基点として採用されています。
     
  • 汎用HSM (Luna HSM シリーズ)
    タレスのLuna HSMは安全な暗号化処理、鍵の生成と更新・保護を実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、以下のようなさまざまな展開シナリオをサポートします。
    • ルート鍵と認証局(CA)用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
    • アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
    • IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成
  • 決済用 HSM (payShield 10K HSM)
    タレスの決済用HSMは、暗号鍵を常にハードウェア内に保存することにより、最高レベルのセキュリティを実現します。侵入に強く耐タンパ性を備えたFIPS認証取得済みの同アプライアンスの鍵が決して外れることがないため、安全な暗号基盤を提供することができます。すべての暗号化操作はHSM内で行われるため、強力なアクセス制御により、機密性の高い暗号化マテリアルへの非承認ユーザーのアクセスを防ぎます。
     
  • 統合暗号・暗号鍵管理プラットフォーム (CipherTrust Data Security Platform)
    クラウドやデータベース、ストレージ、サーバーなど様々な場所に散財さうる機密情報の暗号化を統合管理するプラットフォームです。その核となる暗号鍵管理アプライアンス(CipherTrust Manager)はFIPS140-2に準拠した、仮想アプライアンスと物理アプライアンスで暗号化、トークン化の暗号鍵を保管管理します。
     
  • タレスデータセキュリティポートフォリオ
    タレスは、クラウド、オンプレミスを含むあらゆるハイブリッドIT環境における機密データを、検出・保護・制御の一連のサイクルによって保護します。データそのものを暗号化やトークン化によって秘匿化するため、例えデータ流出やハッキングが行われても、情報の価値は保護されます。