-and-secure-file-transfer-_hero-banner.jpg?sfvrsn=f063ef04_2 "U.S. Federal Information Processing Standard (FIPS) and Secure File Transfer _hero banner")
米国連邦情報処理規格(FIPS) 140-2 は、2001 年に米国商務省の非監督機関であるアメリカ国立標準技術研究所(National Institute of Standards and Technology、NIST) によって制定されました。NIST は、米軍や様々な政府機関が遵守すべき各種の基準を制定しています。米国政府機関や米軍と協業するベンダー、請負業者などの組織も、FIPS を遵守する必要があります。カナダ政府も、導入するソフトウェアが FIPS 検証済みであることを前提としており、FIPS の制定にあたって NIST に協力しています。
FIPS には、ロケーションと個人識別情報のフォーマット、暗号化アルゴリズム、キーストレージ、その他のデータ処理に関する標準が含まれています。FIPS の目的は、種々のサービスのセキュリティ、品質、および処理の互換性を容易に確認できる方法で保証することです。
高度なセキュリティが必要な場合、FIPS 検証済みデータ送信アプリケーションは、FIPS 140-2 で承認されたアルゴリズムとハッシュ関数の両方を使用し、暗号モジュール検証プログラム(Cryptographic Module Validation Program、CMVP) によって検証されなければなりません。
多くのソリューション提供者は、そのソリューションが「 FIPS 準拠」であると強調しますが、FIPS 準拠はそのソリューションが FIPS の要件に沿っているという主張に過ぎません。本当の意味で FIPS を遵守するには、FIPS の検証が必要です。FIPS の検証には、NIST の検査機関に詳細な文書とソースコードを提出する必要があります。ほとんどの場合、検査プロセスは数カ月(平均 69か月)かかります。つまり、FIPS 検証済みのソリューションは、承認されたアルゴリズムを使用しているだけでなく、きちんと文書化され、しっかりした技術の裏打ちがあり、検査を受け、検証プロセスがスムーズに進行するよう簡単にテストできるという特長があります。
プログレスの MOVEit Transfer アプリケーションと MOVEit Automation アプリケーションはどちらも、暗号化に FIPS で検証された AES と SHA-1 を使用します。