MID サーバーの FIPS 適用モード

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • MID サーバーは、National Security Cloud (NSC) IL-5 環境をサポートしています。この環境では、使用するすべての暗号化を FIPS 検証する必要があります。MID サーバーは、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 強制モードで実行できます。

    セキュリティフェーズのインジケーターを設定するMID サーバーがネットワークの内部と外部の要素に接続できることを確認するMID サーバーを Linux または Windows ホストにダウンロードしてインストールするMID サーバーを構成MID サーバーセキュリティを設定MID サーバーがネットワークの内部と外部の要素に接続できることを確認するMID サーバーを Linux または Windows ホストにダウンロードしてインストールするMID サーバーを構成MID サーバーセキュリティを設定

    連邦情報処理標準 (Federal Information Processing Standards)は、コンピューターシステムで使用するために米国国立標準技術研究所によって編纂された標準のグループです。FIPS が公開しているものは数多くありますが、ここでは特に「Security Requirements for Cryptographic Modules (FIPS 140-2:暗号化モジュールのセキュリティ要件)」を参照します。暗号化アルゴリズムは、NIST で指定された検証プロセスを進めることができます。新しい安全なクラウド環境のために、MID サーバーはそのようなプロセスによって検証されたアルゴリズムを利用します。

    FIPS 適用モードで実行するように設定できるのは、JRE バージョンが 11.0.9 + 11 以降である Rome リリースファミリ以降の MID サーバーのみです。

    FIPS 適用モード

    次のアルゴリズムは、FIPS 適用モードの MID サーバーによってこれらの SSH 機能で使用することはできません。

    鍵交換:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    現在、FIPS 適用モードの MID サーバーで使用する SNMP について、次の制限が適用されています。

    • SNMP v1 および v2 は完全に無効になっています。
    • SNMP v3 では、FIPS 適用モードの MID サーバーでは次のプロトコルの使用は許可されていません。
      • 認証プロトコル:なしまたは MD5
      • プライバシープロトコル:なしまたは DES

    MID サーバーを利用するその他の機能は、FIPS 適用モードで実行すると影響を受ける可能性があります。具体的な詳細については、機能の専用ドキュメントを参照してください。

    MID サーバーの FIPS 適用モードの有効化

    MID サーバーは、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 強制モードで実行できます。

    始める前に

    必要なロール:admin

    手順

    1. 新しい MID サーバーを展開するか、既存の MID サーバーを Rome ファミリリリース以降にアップグレードします。
    2. MID サーバーをシャットダウンします。
    3. 提供されている次のバンドルスクリプトを実行して、MID を FIPS 適用モードで実行するように変換します。
      • Windows ホストの場合: > <MID install directory>\agent\bin\scripts\set-fips-enforced-mode.bat on
      • Linux ホストの場合: $ <MID install directory>/agent/bin/scripts/set-fips-enforced-mode.sh on
      成功は、変更されたファイルの場所と変換プロセス中に生成されたバックアップを含めて、コンソールに記録されます。プログラムで呼び出された場合、成功は 0 の戻りコードで示されます。
    4. MID サーバーを起動します。

    次のタスク

    MID の実行モードは、次の 2 つの方法で確認できます。

    1. 起動後にエージェントログを確認し、次のログ行を探します: Running in FIPS Enforced mode
    2. インスタンスの ecc_agent テーブルを確認し、FIPS Enforced ブール列の値を探します。

    MID サーバーを手動で FIPS 適用モードに変換する

    MID サーバーは、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 適用モードで実行できます。

    始める前に

    必要なロール:admin

    このタスクについて

    外部 JRE の使用中に MID サーバーを FIPS 適用モードに手動で変換するには、MID サーバーのシャットダウン中に次の手順を実行する必要があります。

    • JRE のトラストストアを BCFKS タイプに変換します。

    • JRE のデフォルトのキーストアタイプを BCFKS に設定します。

    • MID サーバーの構成ファイルで FIPS 適用モードフラグを設定します。

    手順

    1. 次のようなコマンドで Java Keytool を使用して、JRE の cacerts ファイルタイプを BCFKS に変換します。
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <destination keystore path> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar path>
      注:
      Rome 以降の MID インストールには、この目的に適した BouncyCastle jar が含まれています。これは …/agent/lib/bc-fips.jar にあります。
    2. JRE のデフォルトのキーストアタイプは、<JRE installation directory>\conf\security\java.security ファイルで設定できます。
    3. このファイルで keystore.type 行を探し、値を keystore.type = bcfks に設定します。
    4. MID サーバーの …/agent/conf/wrapper-override.conf ファイルで、FIPS 行をコメント解除し、値を true に設定します。
      行は次のようになります。wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true