第2回 各国で採用されるFIPS 140-2の重要性
日本ネットワークセキュリティ協会(JNSA)
暗号モジュール評価基準WG
2005/1/19
第1回「暗号モジュールの安全性について考える」では暗号の選択基準からFIPS 140-2(連邦情報処理規格140-2:暗号モジュールのセキュリティ要件)およびその準拠性を確かめるCMVP(暗号モジュール認定制度:Cryptographic Module Validation Program)について解説しました。第2回ではその重要性について話したいと思います。
 |
FIPS 140-2適合認定取得リスト |
詳しい話に入る前にFIPS 140-2適合認定取得リストについて話します。CMVPにてFIPS 140-2適合認定を取得したモジュールは、原則的にNISTのWebサイトで公開されます。これがFIPS 140-2適合認定取得リストです。ここで公開される情報は、ベンダが申告したものとなります。
実際にNISTのWebサイトで確認していただくと分かりやすいのですが、ここで注目したいのは実際に認定を取得しているベンダの所在国です。FIPS 140-2は米国の規格ですので、米国のベンダだけに限られると思われがちですが、実際にはカナダ、英国、イスラエル、そのほか欧州のベンダも取得していますし、日本のベンダも認定を受けています。
なぜ各ベンダが米国の適合認定を取得するのでしょうか? 世界各国の事情、日本の事情を含め説明します。
|
各国における扱い |
●米国
FIPSはFederal Information Processing Standard(連邦情報処理規格)の略称であることから、米国の規格であることが分かります。現在、米国の連邦政府機関が暗号モジュールを調達する際にはFIPS 140-2、もしくはその前身であるFIPS 140-1適合認定を取得していなければなりません。
つまりいくら優れた暗号モジュールを開発したとしても適合認定を取得していなければ連邦政府機関に販売することはできませんし、連邦政府機関が購入することもできません。また、米国では連邦政府機関以外の民間企業でもFIPS 140-2が広く受け入れられており、金融機関も認定されたモジュールを好みます。
●カナダ
FIPSは米国の規格ですが、CMVPは米国のNISTとカナダのCSEの合同プロジェクトです。そのことから分かるとおり、カナダの政府調達にもFIPS 140-2は取り入れられています。ただし、カナダではFIPS 140-2で使用が許可されていないアルゴリズムの一部も使用が許可されています。
●欧州
欧州でもFIPS 140-2 を取り入れている国があり、特に英国ではFIPS 140-2を政府調達の基準として採用しています。実際に英国には暗号モジュールのテストラボが2つあり(2005年1月時点)、評価する体制が整えられつつあるといってもよいでしょう。
1/2 |
|
| Index | |
| 各国で採用されるFIPS 140-2の重要性 | |
 |
Page1 FIPS 140-2適合認定取得リスト 各国における扱い |
| Page2 日本における扱い なぜFIPS 140-2なのか? |
|
| 関連記事 |
| PKIチャンネル |
| 注目の情報管理方式「しきい値秘密分散法」 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
