MID Server の FIPS 適用モード

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • MID Server は、National Security Cloud (NSC) IL-5 環境をサポートしています。この環境では、使用するすべての暗号化を FIPS 検証する必要があります。MID Server は、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 強制モードで実行できます。

    セキュリティフェーズのインジケーターを設定するMID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定MID Server がネットワークの内部と外部の要素に接続できることを確認するMID Server を Linux または Windows ホストにダウンロードしてインストールするMID Server を構成MID Server セキュリティを設定

    連邦情報処理標準 (Federal Information Processing Standards)は、コンピューターシステムで使用するために米国国立標準技術研究所によって編纂された標準のグループです。FIPS が公開しているものは数多くありますが、ここでは特に「Security Requirements for Cryptographic Modules (FIPS 140-2:暗号化モジュールのセキュリティ要件)」を参照します。暗号化アルゴリズムは、NIST で指定された検証プロセスを進めることができます。新しい安全なクラウド環境のために、MID Server はそのようなプロセスによって検証されたアルゴリズムを利用します。

    FIPS 適用モードで実行するように設定できるのは、JRE バージョンが 11.0.9 + 11 以降である Rome リリースファミリ以降の MID Server のみです。

    FIPS 適用モード

    次のアルゴリズムは、FIPS 適用モードの MID Server によってこれらの SSH 機能で使用することはできません。

    鍵交換:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    現在、FIPS 適用モードの MID Server で使用する SNMP について、次の制限が適用されています。

    • SNMP v1 および v2 は完全に無効になっています。
    • SNMP v3 では、FIPS 適用モードの MID Server では次のプロトコルの使用は許可されていません。
      • 認証プロトコル:なしまたは MD5
      • プライバシープロトコル:なしまたは DES

    MID Server を利用するその他の機能は、FIPS 適用モードで実行すると影響を受ける可能性があります。具体的な詳細については、機能の専用ドキュメントを参照してください。

    MID Server の FIPS 適用モードの有効化

    MID Server は、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 強制モードで実行できます。

    始める前に

    必要なロール:admin

    手順

    1. 新しい MID Server を展開するか、既存の MID Server を Rome ファミリリリース以降にアップグレードします。
    2. MID Server をシャットダウンします。
    3. 提供されている次のバンドルスクリプトを実行して、MID を FIPS 適用モードで実行するように変換します。
      • Windows ホストの場合: > <MID install directory>\agent\bin\scripts\set-fips-enforced-mode.bat on
      • Linux ホストの場合: $ <MID install directory>/agent/bin/scripts/set-fips-enforced-mode.sh on
      成功は、変更されたファイルの場所と変換プロセス中に生成されたバックアップを含めて、コンソールに記録されます。プログラムで呼び出された場合、成功は 0 の戻りコードで示されます。
    4. MID Server を起動します。

    次のタスク

    MID の実行モードは、次の 2 つの方法で確認できます。

    1. 起動後にエージェントログを確認し、次のログ行を探します: Running in FIPS Enforced mode
    2. インスタンスの ecc_agent テーブルを確認し、FIPS Enforced ブール列の値を探します。

    MID Server を手動で FIPS 適用モードに変換する

    MID Server は、FIPS 検証済みの暗号化アルゴリズムのみが使用される FIPS 強制モードで実行できます。

    始める前に

    必要なロール:admin

    このタスクについて

    外部 JRE の使用中に MID Server を FIPS 適用モードに手動で変換するには、MID Server のシャットダウン中に次の手順を実行する必要があります。

    • JRE のトラストストアを BCFKS タイプに変換します。

    • JRE のデフォルトのキーストアタイプを BCFKS に設定します。

    • MID Server の構成ファイルで FIPS 適用モードフラグを設定します。

    手順

    1. 次のようなコマンドで Java Keytool を使用して、JRE の cacerts ファイルタイプを BCFKS に変換します。
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <destination keystore path> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar path>
      注:
      Rome 以降の MID インストールには、この目的に適した BouncyCastle jar が含まれています。これは …/agent/lib/bc-fips.jar にあります。
    2. JRE のデフォルトのキーストアタイプは、<JRE installation directory>\conf\security\java.security ファイルで設定できます。
    3. このファイルで keystore.type 行を探し、値を keystore.type = bcfks に設定します。
    4. MID Server の …/agent/conf/wrapper-override.conf ファイルで、FIPS 行をコメント解除し、値を true に設定します。
      行は次のようになります。wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true