FIPS 140-2 は、アメリカ国立標準技術研究所(NIST)によって公開された標準であり、オンラインサービスのセキュリティ、品質、および互換性を保証します。
オンラインサービスのセキュリティ、品質、互換性への規制
米国連邦情報処理規格(FIPS)140-2 は、2001年に米国商務省の非監督機関であるアメリカ国立標準技術研究所(National Institute of Standards and Technology、NIST)によって制定されました。NIST は、米軍や様々な政府機関が遵守すべき各種の基準を制定しています。米国政府機関や米軍と協業するベンダー、請負業者などの組織も、FIPS を遵守する必要があります。
カナダ政府も、導入するソフトウェアが FIPS 検証済みであることを前提としており、FIPS の制定にあたって NIST に協力しています。FIPS には、ロケーションと個人識別情報のフォーマット、暗号化アルゴリズム、キーストレージ、その他のデータ処理に関する標準が含まれています。FIPS の目的は、種々のサービスのセキュリティ、品質、および処理の互換性を容易に確認できる方法で保証することです。
FIPS セキュリティの 4 レベル
- レベル1: FIPS は、「暗号モジュールのソフトウェアおよびファームウェアコンポーネントが検証済みでないオペレーティング・システムを使用する汎用コンピューティング・システム上で実行されることが可能」なレベルをレベル1と指定しています。ユーザーは通常のハードウェアでこのレベルのセキュリティを実行できます。
- レベル2: ロール・ベースの認証、ソフトウェアのオペレーティング・システムに関する物理的な改ざんや保護の証拠を提供するシールが必要です。
- レベル3: 物理的な改ざん防止を含むレベル2を超えるいくつかの要件が加わります。
- レベル4: 環境ハザードへの耐性を含む、より厳しい改ざん防止要件が追加されます。
FIPS 規制が適用される組織はもちろんですが、規制の適用を受けない組織であっても、堅牢な FIPS 規制を満たすことはセキュリティ強化のために非常に有意義です。プログレスの MOVEit マネージド・ファイル・トランスファーは、FIPS 検証済みです。