連邦情報処理標準 (FIPS) パブリケーション 140-2

  • [アーティクル]

FIPS 140-2 標準の概要

連邦情報処理標準 (FIPS) パブリケーション 140-2 は、1996 年の情報技術管理改革法のセクション 5131 で定義されているように、情報技術製品の暗号化モジュールの最小セキュリティ要件を定義する米国政府標準です。

米国国立標準技術研究所 (NIST) とカナダサイバー セキュリティ センター (CCCS) の共同取り組みである 暗号化モジュール検証プログラム (CMVP) は、 暗号化モジュールのセキュリティ要件 (FIPS 140-2) および関連する FIPS 暗号化標準に対する暗号化モジュールを検証します。 FIPS 140-2 のセキュリティ要件は、暗号化モジュールの設計と実装に関連する 11 の領域をカバーしています。 NIST 情報技術研究所は、モジュール内の FIPS 承認暗号化アルゴリズムを検証する関連プログラムを運用しています。

FIPS 140-2 検証に対する Microsoft のアプローチ

Microsoft は、2001 年の標準の開始以来、暗号化モジュールを検証し、140-2 の要件を満たすことに積極的に取り組んでいます。 Microsoft は、米国国立標準技術研究所 (NIST) 暗号化モジュール検証プログラム (CMVP) の下で暗号化モジュールを検証します。 多くのクラウド サービスを含む複数の Microsoft 製品で、これらの暗号化モジュールを使用します。

Microsoft Windows 暗号化モジュール、各モジュールのセキュリティ ポリシー、CMVP 証明書の詳細のカタログに関する技術情報については、 Windows および Windows Server FIPS 140-2 のコンテンツを参照してください。

対象となる Microsoft のクラウド プラットフォームとサービス

現在の CMVP FIPS 140-2 実装ガイダンスでは、クラウド サービス自体に対する FIPS 140-2 検証が含まれています。クラウド サービス プロバイダーは、クラウド サービスを構成するコンピューティング要素の FIPS 140 検証済み暗号化モジュールを取得して運用することを選択できます。 FIPS 140-2 で検証されたコンポーネントを含む Microsoft オンライン サービスには、次のようなものがあります。

  • Azure および Azure Government
  • 政府のDynamics 365とDynamics 365
  • Office 365、Office 365 米国政府、Office 365 米国防総省

Azure、Dynamics 365、FIPS 140-2

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure FIPS 140-2 オファリングを参照してください。

Office 365および FIPS 140-2

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
Office 365、GCC、GCC High、DoD FIPS 140-2 の検証に関するページを参照してください

よく寄せられる質問

'FIPS 140 Validated' と 'FIPS 140 準拠' の違いは何ですか?

'FIPS 140 Validated' は、暗号化モジュール、またはモジュールを埋め込む製品が、FIPS 140-2 要件を満たしているとして CMVP によって検証 ('認定') されたことを意味します。 "FIPS 140 準拠" は、暗号化機能に FIPS 140 検証済み製品に依存する IT 製品の業界用語です。

Microsoft が FIPS 140 の検証を行うのはいつですか?

モジュール検証を開始するための頻度は、Windows 10と Windows Server の機能更新プログラムに合わせて調整されます。 ソフトウェア業界が進化するにつれて、オペレーティング システムはより頻繁にリリースされ、毎月のソフトウェア更新プログラムが提供されます。 Microsoft は機能リリースの検証を行いますが、リリースの間に暗号化モジュールの変更を最小限に抑えようとしています。

FIPS 140 検証に含まれるコンピューターはどれですか?

Microsoft では、Windows 10 と Windows Server を実行しているハードウェア構成の代表的なサンプルで暗号化モジュールを検証します。 環境でハードウェアを使用する場合、この FIPS 140-2 検証を受け入れるのは業界の一般的な方法です。これは、検証プロセスに使用されるサンプルと同様です。

NIST Web サイトには多数のモジュールが一覧表示されています。 操作方法私の代理店に適用されるものを知っていますか?

FIPS 140-2 で検証された暗号化モジュールを使用する必要がある場合は、使用するバージョンが検証リストに表示されることを確認する必要があります。 CMVP と Microsoft は、検証済みの暗号化モジュールの一覧を製品リリース別に整理し、Windows システムにインストールされているモジュールを特定する手順を管理します。 準拠するようにシステムを構成する方法の詳細については、 Windows および Windows Server FIPS 140-2 のコンテンツを参照してください。

証明書に対する 'FIPS モードでの操作時' の意味

この警告は、FIPS 140-2 セキュリティ ポリシーと一致する方法で暗号化モジュールを使用するために必要な構成とセキュリティ規則に従う必要があることを読者に通知します。 各モジュールには、独自のセキュリティ ポリシー (動作するセキュリティ規則の正確な仕様) があり、承認された暗号化アルゴリズム、暗号化キー管理、認証手法が採用されています。 セキュリティ 規則は、各モジュールのセキュリティ ポリシーで定義されます。 CMVP で検証された各モジュールのセキュリティ ポリシーへのリンクなど、詳細については、 Windows および Windows Server FIPS 140-2 のコンテンツを参照してください。

FedRAMP では FIPS 140-2 の検証が必要ですか?

はい。連邦リスクおよび承認管理プログラム (FedRAMP) は、 NIST SP 800-53 リビジョン 4 によって定義された制御ベースラインに依存しています。これには、FIPS 検証暗号化または NSA が承認した暗号化の使用を義務付けた SC-13 暗号化保護 が含まれます。

機関の認定プロセスで、MICROSOFT の FIPS 140-2 への準拠を使用できますか?

FIPS 140-2 に準拠するには、暗号化モジュールで FIPS が承認されたアルゴリズムのみを確実に使用することを含む FIPS 承認モードで実行するようにシステムを構成する必要があります。 準拠するようにシステムを構成する方法の詳細については、 Windows および Windows Server FIPS 140-2 のコンテンツを参照してください。

FIPS 140-2 と共通条件の関係は何ですか?

これらは、異なるが補完的な目的を持つ 2 つの個別のセキュリティ標準です。 FIPS 140-2 は、ソフトウェアとハードウェアの暗号化モジュールを検証するために特別に設計されていますが、共通基準は IT ソフトウェアおよびハードウェア製品のセキュリティ機能を評価するように設計されています。 一般的な基準の評価では、多くの場合、FIPS 140-2 の検証に依存して、基本的な暗号化機能が適切に実装されていることを保証します。

リソース