ブログ

FIPS の力

ジェイ・ケリー サムネイル
ジェイ・ケリー
2016 年 6 月 7 日公開

世界中の政府機関で働いている場合、または医療、金融サービス、法律サービス、または機密扱いではない (SBU) データの収集と送信を扱うその他のビジネスに携わっている場合、連邦情報処理標準 (FIPS) についてはすでによくご存知でしょう。

そうでない場合は、ここで簡単な説明をご覧ください。

FIPS は、さまざまな形式のセキュリティに関する米国政府の標準です。 これは、米国政府とカナダ政府内の機関、具体的には米国国立標準技術研究所 (NIST) とカナダの通信保安局 (CSE) によって管理されています。

セキュリティのさまざまな要素を扱うさまざまな FIPS 要件が存在します。 たとえば、FIPS 197 は高度暗号化標準 (AES) であり、FIPS 201 は連邦政府職員および請負業者の個人識別検証 (PIV) であり、多くの政府機関で ID として使用される PIV カードの基礎となっています。

ネットワークおよびクラウド セキュリティの世界で最も当てはまる FIPS 要件1 つは、暗号化モジュールのセキュリティ認定、つまり暗号化機能を実行するハードウェア、ソフトウェア、ファームウェアの組み合わせのセキュリティの検証と認証に適用されます。 セキュリティ意識の高い企業に加え、多くの米国連邦政府機関およびカナダ政府機関では、ネットワークおよびセキュリティ機器が FIPS 140-2 に準拠していることを要求しています。

FIPS 140-2 には、承認された暗号、システム内の定義されたセキュリティ境界、暗号コンポーネントの初期化の検証を必要とするレベル 1 から、他の3 つのレベルの要件に加えて、物理的な攻撃が検出されるとキーがゼロ化される、セキュリティが強化された物理的なエンクロージャに大気およびその他の物理的な保護を追加するレベル 4 まで、4 つの追加のセキュリティ レベルがあります。

最も一般的に適用される標準は、暗号キーまたはセキュリティ パラメータへの物理的なアクセスを示すための改ざん防止手段を必要とする FIPS 140-2 レベル 2 と、改ざん防止機能、レベル 2 の改ざん防止方法に対する追加の検出手段、および物理的なアクセス試行や暗号モジュールの使用または改ざんに対する応答を追加する FIPS 140-2 レベル 3 です。 基本的に、これらのレベルの FIPS セキュリティは、ネットワーク担当者が、悪意のある人物が暗号キーにアクセスした (またはアクセスしようとした) かどうかを知るのに役立ちます。

政府機関や、FSI、法律、医療などのセキュリティ意識の高い企業にとって、FIPS の重要性は、暗号キーとセキュリティ パラメータの保護、および固有の脅威防御にあります。 FIPS 準拠により、連邦政府機関とセキュリティ保護された企業は、 PCI DSS (Payment Card Industry データ セキュリティ Standard)HIPAA (Health Information Portability and Accountability Act) 、ITAR (International Traffic in Arms Regulations) などの政府および業界の規制に準拠し続けることができます。 多層の物理的および論理的セキュリティを提供し、レイヤー 3 とレイヤー 4 (ネットワーク攻撃と DNS 攻撃を含む)、およびレイヤー 7 (SSL 攻撃と HTTP 攻撃) での盗難や攻撃からデータを保護します。

F5 の BIG-IP 10350v-F プラットフォームは、FIPS 140-2 レベル 3 をサポートする最新世代のハードウェア セキュリティ モジュール (HSM) の実装であり、F5 が初めてサポートした FIPS 140-2 レベル 3 プラットフォームです。 BIG-IP 10350v-F プラットフォームは、改ざん防止 HSM やその他の物理セキュリティを利用してキー ストレージを保護します。 BIG-IP 10350v-F は HSM を通じて、政府機関、金融サービス機関、その他のセキュリティを重視する企業に安全な拡張性を提供し、同時に今日の増え続ける SSL パフォーマンス数値にも対応します。 業界をリードする SSL バルク暗号化パフォーマンスと、優れた価格性能比を提供します。 10350v-F は証明書管理を簡素化し、コンプライアンス コストを削減します。

しかし、HSM がなぜそれほど重要なのかと疑問に思うかもしれません。 ソフトウェア暗号ライブラリを使用するだけではだめですか? 各展開では、保護対象の資料を評価する必要があります。 また、FIPS 140-2 レベル 1 およびレベル 2 では、使用されている暗号化が一定の保証と実装レビューを達成していることについて一定の信頼性が提供されますが、個人識別情報 (PII) と保護された健康情報 (PHI) が FIPS 140-2 レベル 3 HSM でのみ満たされる多くの政府機関やその他の機密プログラムでは、より高いレベルの保護が求められます。 さらに、HSM は暗号化操作を安全に保護し、重要な暗号化キーを保護し、管理ドメインとセキュリティ ドメインを分離し、キーの使用に関するポリシーを適用します。

F5 BIG-IP 10350v-F プラットフォームは、比類のない拡張性、強化されたセキュリティ、キー保護を提供し、優れたコスト効率を実現します。 このプラットフォームが対応するユースケースには、SSL オフロード、可視性、高速化、およびエアギャップ機能経由または F5 のSecure Web Gateway (SWG) サービスと組み合わせたフォワード プロキシなどがあります。

機密扱いされていない機密データの収集、保管、配布を扱う政府機関や企業は、FIPS 140-2 準拠のネットワークおよびセキュリティ製品に関心を持つはずです。 また、機密データのセキュリティを確保したい機関や企業は、暗号キーが安全に保たれていることを保証しなければなりません。そのような組織には FIPS 140-2 レベル 3 が必要です。

そのため、これらのすべての機関や企業は、HSM を備えたapplication配信コントローラ (ADC) の中で FIPS TPS あたりのコストが最も低い F5 BIG-IP 10350v-F プラットフォームを必要としています。