MENU
ITの専門用語を、わかりやすく。
  1. ホーム
  2. セキュリティ・認証
  3. FIPSとは|FIPS 140-2/140-3など暗号モジュール認証を整理

FIPSとは|FIPS 140-2/140-3など暗号モジュール認証を整理

セキュリティ・認証
FIPS アイキャッチ
FIPS

FIPS(Federal Information Processing Standards)は米国国立標準技術研究所(NIST)が策定する連邦情報処理規格群の総称で、米連邦政府機関と契約する企業が遵守すべき技術標準を定義する。中でもFIPS 140-2(2001年公開)とその後継FIPS 140-3(2019年公開)は暗号モジュールのセキュリティ要件を規定する重要規格で、FedRAMP・CMMC・HIPAA等の上位フレームワークから参照される基盤的存在となっている。

目次

この記事の目次

  1. 主要なFIPS規格
  2. FIPS 140-2/140-3のセキュリティレベル
  3. FIPS Modeを使う実装現場
  4. 認証取得とビジネスインパクト
  5. まとめ

主要なFIPS規格

主要なFIPS規格

FIPSには複数の規格が存在し、それぞれ独立した役割を持つ。FIPS 140-2/140-3は暗号モジュールのセキュリティ要件、FIPS 197はAES(Advanced Encryption Standard)、FIPS 186-4/5はデジタル署名アルゴリズム(DSA、ECDSA、RSA)、FIPS 180-4はSHA-2系ハッシュ関数、FIPS 202はSHA-3を規定する。

近年は耐量子暗号への移行に向けた新規格策定が進んでおり、2024年8月に確定したFIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)がポスト量子暗号の標準として公開された。これにより、量子コンピューターによる現行暗号破壊への備えが連邦標準として整備されたことになる。

FIPS 140-2/140-3のセキュリティレベル

FIPS 140-2/140-3のセキュリティレベル

FIPS 140-2/140-3は暗号モジュールを4段階のセキュリティレベルで認証する。Level 1は最低限の暗号アルゴリズム実装要件のみで、ソフトウェア実装が認証可能。Level 2はタンパーエビデンス(改ざん痕跡)の物理的シール、ロールベースの認証を要求。Level 3はタンパーレジスタンス(改ざん抵抗性)、識別認証、内部暗号鍵のゼロ化を要求。Level 4は環境保護(電圧・温度耐性)を含む最高レベルで、軍事・金融HSMが該当する。

認証取得にはCMVP(Cryptographic Module Validation Program)と呼ばれる審査制度に申請し、CSTL(Cryptographic and Security Testing Laboratory)と呼ばれる独立試験機関の評価を受ける必要がある。FIPS 140-3は2026年以降の新規認証で必須となり、140-2の旧認証はSunsetスケジュールが進行中で、移行計画の策定が急務だ。

FIPS Modeを使う実装現場

FIPS Modeを使う実装現場

OpenSSL、Microsoft CryptoAPI、Bouncy Castle等のメジャー暗号ライブラリは「FIPS Mode」と呼ばれる動作モードを提供する。これを有効化するとFIPS認証済みアルゴリズム(AES、SHA-2、RSA-2048以上等)のみが使用可能となり、MD5・RC4・DES等の旧式アルゴリズムは呼び出すとエラーとなる。

Red Hat Enterprise LinuxやWindows Server等のOSも独自にFIPS認証取得しており、OSレベルでFIPS Modeを有効化することで全アプリケーションが認証済み暗号のみ使用する状態を強制できる。AWS KMS、Azure Key Vault、Google Cloud KMS等の主要クラウドHSMもFIPS 140-2 Level 2/3認証を取得しており、政府クラウド調達の前提となっている。

認証取得とビジネスインパクト

認証取得とビジネスインパクト

FIPS認証は政府市場参入のパスポートとも言える存在で、認証なしの暗号モジュールはFedRAMP・CMMC・DoD契約・HIPAA等の要件を満たせない。認証取得には開発者・試験機関・NISTの三者間で長期のやり取りが発生し、Level 2で12〜18ヶ月、Level 3以上で2年以上を要するのが一般的だ。費用は数千万円規模になる。

認証取得後も、暗号アルゴリズムの更新・パッチ適用には再認証が必要となる場合があり、ライフサイクル管理が運用上の最大課題となる。日本のCRYPTREC(電子政府推奨暗号リスト)もFIPSを参照しており、日本国内政府調達でもFIPS準拠が事実上の要件となっている。CMVPの動向を継続的に追跡する体制構築が、政府向けセキュリティ製品開発企業には必須となっている。

まとめ

FIPSは米連邦政府の技術標準群であり、特にFIPS 140-2/140-3は暗号モジュール認証の事実上の世界標準として機能している。140-3への移行・耐量子暗号FIPS 203-205の登場・クラウドHSMの認証拡大が並行進行する現在、政府市場や規制業界に関わる企業は認証取得・更新計画を早期に立てる必要がある。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。

Post Views: 2
セキュリティ・認証
F IT用語集 基礎知識
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

編集長のアバター 編集長

関連記事

コメント

コメントする

目次