FIPS 140-2とは?
FIPS(連邦情報処理標準)140-2は、の有効性を検証するためのベンチマークです。暗号化ハードウェア。製品にFIPS140-2証明書がある場合は、米国政府とカナダ政府によってテストされ、正式に検証されていることがわかります。 FIPS 140-2は米国/カナダ連邦の標準ですが、FIPS 140-2準拠は、実用的なセキュリティベンチマークおよび現実的なベストプラクティスとして、政府部門と非政府部門の両方で世界中で広く採用されています。
組織はFIPS140-2標準を使用して、選択したハードウェアが特定のセキュリティ要件を満たしていることを確認します。 FIPS認定基準では、4つの定性的なセキュリティレベルが定義されています。
レベル1:実稼働グレードの機器と外部でテストされたアルゴリズムが必要です。
レベル2:物理的な改ざんの証拠の要件を追加します。および役割ベースの認証。ソフトウェアの実装は、EAL2のコモンクライテリアで承認されたオペレーティングシステムで実行する必要があります。
レベル3:物理的な改ざん防止とIDベースの認証の要件を追加します。また、「重要なセキュリティパラメータ」がモジュールに出入りするインターフェースの間には、物理的または論理的な分離が必要です。秘密鍵は、暗号化された形式でのみ出入りできます。
レベル4:このレベルでは、物理的なものになります。セキュリティ要件がより厳しくなり、改ざんに対応できる必要があり、さまざまな形態の環境攻撃を検出した場合はデバイスのコンテンツを消去します。
FIPS 140-2標準では、技術的には次のソフトウェアのみの実装が許可されています。レベル3または4ですが、検証されていないような厳しい要件が適用されます。
多くの組織にとって、FIPS 140レベル3でFIPS認定を要求することは、効果的なセキュリティ、運用上の利便性、および市場での選択の間の適切な妥協点です。 。
データを保護し、規制および業界標準に準拠し、組織の評判を保護します。Thalesがどのように役立つかを学びます。
- Thales FIPS140-2コンプライアンス
- Thalesハードウェアセキュリティモジュール
- HSMを使用したデジタルプロセスのリスク管理戦略-ホワイトペーパー
- DPoDを使用したクラウドベースのHSMとオンプレミスHSM:TCOの比較-ホワイトペーパー