FIPS 140-3:暗号セキュリティを強化し現代のサイバーセキュリティ課題に対応
05/07/2024 - Chris Collier
FIPS 140-3(連邦情報処理標準規格140-3)は米国政府が使用する暗号化モジュールの最新規格で、以前のFIPS 140-2標準規格に代わるものです。米国国立標準技術研究所(NIST)によって制定されたFIPS 140標準規格は、機密情報には分類されていない重要情報を保護する上で不可欠な、暗号化モジュールの設計と実装に関するガイドラインを提供します。これまでのFIPS 140-2は2001年に導入され、暗号化セキュリティのベンチマークとして広く受け入れられてきました。
しかしながら、テクノロジーの進歩や新たなセキュリティ脅威の出現によって、標準規格を更新する必要性が高まりました。新しいFIPS 140-3には、暗号化モジュールのセキュリティと機能を強化するさまざまな改善と変更が盛り込まれています。以下にFIPS 140-3の主な更新点と相違点をご紹介します。
- ISO/IEC規格との整合性
- FIPS 140-3は、暗号化モジュールのセキュリティ要件に関する国際標準ISO/IEC 19790:2012に準拠しています。この準拠により、国際標準との整合性が確保され、グローバルでの相互運用性が促進されます。
- セキュリティ要件の更新
- エントロピー生成:乱数生成にあたりエントロピー生成の要件が強化されました。新しい標準では、エントロピー生成の品質と堅牢性に関する基準がより厳しく規定され、暗号化操作の全体的なセキュリティが向上しています。
- モジュールインターフェイス:暗号化モジュールで使用されるインターフェイスとプロトコルのより詳細な仕様。モジュール内およびモジュール間の安全な通信とデータ処理を保証します。
- テストと検証
- テストプロトコルの強化:暗号化モジュールを検証するためのテスト方法が改善されました。セキュリティ要件への準拠を評価するため、より厳格な手順が含まれています。
- 自動テストツール:テストと検証のプロセスを合理化し、効率性と正確性を高めるために、自動化ツールの使用が推奨されています。
- セキュリティレベル
- されたセキュリティレベル:この標準規格では、以前のFIPS 140-2で使用されていた4つのセキュリティレベル(1~4)が維持されていますが、これらのレベルを達成するための要件とガイダンスが更新されています。これにより、暗号化モジュールは最新のセキュリティニーズと脅威に対応できます。
- 物理的セキュリティ:暗号化モジュールを改ざんや物理的攻撃から保護し、特に高いセキュリティレベルを確保するため、物理的セキュリティ要件が強化されています。
- ロールベースとIDベースの認証
- ロールベースおよびIDベースの認証メカニズムの実装に関するガイドラインがより明確になりました。これらの要件により、許可されたユーザーのみが暗号化モジュールにアクセスし管理できるようになり、全体的なセキュリティが強化されています。
- 文書化とレポート
- 文書化要件の改善:暗号化モジュールの開発、実装、テストに関するドキュメンテーション要件がより包括的なものに改善されました。これには、セキュリティポリシー、設計仕様、テスト結果に関する詳細なレポートが含まれます。
- インシデントレポート:暗号化モジュールに関連するセキュリティインシデントおよび脆弱性を報告するための新しいガイドラインは、セキュリティ問題の透明性とタイムリーな緩和を促進します。
- ライフサイクル保証
- ライフサイクル管理:暗号化モジュールの安全な開発、配布、保守に関する要件が更新されました。これには、安全なコーディング方法、構成管理、ソフトウェア更新に関するガイダンスが含まれます。
- 陳腐化と寿命の終了:暗号化モジュールの陳腐化や耐用年数が終了した際に、古いモジュールがセキュリティを侵害しないよう管理するためのガイドライン。
FIPS 140-2との主な相違点のまとめ
- 国際的な整合性:FIPS 140-3は、FIPS 140-2が準拠していないISO/IEC 19790:2012に準拠しています。このため、FIPS 140-3は国際標準との高い整合性をもちます。
- エントロピー生成と乱数生成:FIPS 140-2と比べ、FIPS 140-3ではエントロピー生成に対する要件がより厳格かつ詳細になりました。
- テストの強化:FIPS 140-3では、自動化ツールの使用を含めたテストプロトコルがより厳格に改善されています。
- 物理セキュリティの更新:特にセキュリティレベルが高い場合、より詳細な物理セキュリティ要件が求められます。
- ライフサイクル保証:FIPS 140-3におけるライフサイクル管理と安全な開発手法の要件が強化されました。
- ドキュメンテーション:FIPS 140-3では、より包括的で詳細な文書化とレポートの要件が求められます。
まとめ
FIPS 140-3は暗号化モジュールの標準規格に大幅な改善と更新が加えられ、現代のセキュリティ上の課題に対処するとともに国際標準との整合性も確保しています。これらの変更は、米国政府やその他の組織で使用される暗号化モジュールの堅牢性、セキュリティ、相互運用性の強化に寄与します。
私たちスイスビットでは、FIDO2、HOTP(ハッシュベース・ワンタイムパスワード)やPIV(個人認証)などの新しいセキュリティ機能に対応した認証デバイス「iShield Key Pro」を提供しています。このハードウェアベースのセキュリティキー製品は、#FIPS 140-3レベル3に準拠するIUT(試験対象モジュール)の一つであり、米国連邦政府や政府機関において強力で高いフィッシング耐性を持つ多要素認証をサポートしています。スイスビットは、最新の暗号化標準を活用することで最高レベルのハードウェアセキュリティを提供し、将来を見据えたテクノロジーをお客様に提供してまいります。