FIPS を有効にした OS X Lion システムを設定および管理する方法
FIPS を有効にした OS X Lion システムを設定および管理する方法について説明します。
完全に法令に準拠するには、OS X Lion に搭載されている FIPS 準拠の CDSA/CSP 暗号モジュールで追加の設定手順を実行し、システムを「FIPS モード」にする必要があります。システム管理者 (クリプトオフィサ) は、必ず FIPS 管理ツールインストーラを入手してシステムにインストールする必要があります。
重要:ソフトウェアアップデートなどを使って OS X Lion のアップデートを実行する前は、「FIPS モード」を無効にする必要があります。無効にしないと、コンピュータが再起動後に正しく起動しないことがあります。ソフトウェアアップデートを実行した後は、「Crypto Officer Role Guide」の指示に従い、「FIPS モード」を再度有効にする必要があります。
FIPS 管理ツールをインストールする方法
FIPS 管理ツールのインストーラは、こちらから入手できます。FIPS 管理ツールをインストールし、管理する手順の詳細については、「FIPS Administration Tools Crypto Officer Role Guide」を参照してください。
ツールをインストールするコンピュータに管理者としてログインします。
FIPS 管理ツールインストーラパッケージをダブルクリックします。
「はじめに」ページの情報を読んでから「続ける」をクリックします。
「大切な情報」ページの情報を読んでから「続ける」をクリックします。必要に応じて、このページの情報をプリントまたは保存することもできます。
「使用許諾契約」ページのソフトウェア使用許諾契約を読んでから「続ける」をクリックします。必要に応じて、このページの情報をプリントまたは保存することもできます。
ソフトウェア使用許諾契約の条件に同意する場合は、「同意する」をクリックします。同意しない場合は、「同意しない」をクリックすると、インストーラが終了します。
「インストール先の選択」ページで、FIPS 管理ツールをインストールする Mac OS X ボリュームを選択し、「続ける」をクリックします。注:FIPS 管理ツールは、必ず起動 (ブート) ボリュームにインストールしてください。
「インストール」ボタンをクリックします。
管理者のユーザ名とパスワードを入力します。
「インストールを続ける」をクリックします。注:インストールが完了したら、コンピュータを再起動する必要があります。
インストール後に「再起動」をクリックします。
FIPS 管理ツールが正しくインストールされたことを確認する
FIPS 管理ツールが正しくインストールされたかどうかを確認するには、システムが「FIPS モード」になっていることを確かめます。
ターミナルウインドウで次のコマンドを実行して、システムが FIPS モードになっていることを確認します。
/usr/sbin/fips/FIPSPerformSelfTest status
下記のように表示されるはずです。
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED
FIPS 管理ツールが正しくインストールされたことを手動で確認できる場所は、ほかに 2 つあります。
1 つ目の場所は「/システム/ライブラリ/LaunchDaemons/」です。ここで、次のファイルを探します。
/システム/ライブラリ/LaunchDaemons/com.apple.fipspost.plist
2 つ目の場所は
インストール中に作成された「/usr/sbin/fips」フォルダです。このフォルダにインストールされるツールは次の通りです。
FIPSPerformSelfTest – (起動時の自己診断テストツール)
CryptoKAT – (暗号アルゴリズム既知解テストツール)
postsig – (DSA/ECDSA 署名テストツール)
ソフトウェアアップデートを実行する前に FIPS モードが無効になっていることを確認する
注:ソフトウェアアップデートを実行する前に FIPS を無効にする方法については、「FIPS Administration Tools Crypto Officer Role Guide」を参照してください。
ターミナルウインドウで次のコマンドを実行して、FIPS モードが無効になっていることを確認します。
/usr/sbin/fips/FIPSPerformSelfTest status
下記のように表示されるはずです。
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED
関連情報
OS X Lion の FIPS 140-2 に準拠した暗号モジュールについて
OS X Lion セキュリティサービスは、より新しい「次世代の暗号」プラットフォームに搭載されています。このサービスは、Mac OS X v10.6 で検証済みの CDSA/CSP モジュールから移行しました。ただし、他社製のアプリケーションも引き続き検証済みのモジュールを使えるよう、Apple は他社製のアプリケーションのためだけに OS X Lion で同じ CDSA/CSP を再検証しました。
共通データセキュリティアーキテクチャ (CDSA) は、一連の階層型のセキュリティサービスです。AppleCSP (Apple 暗号サービスプロバイダ) は、このサービスを使って、まだ CDSA を使っている他社製のソフトウェア製品に暗号化機能を提供しています。
FIPS 140-2 の検証プロセスのため、AppleCSP および関連するコンポーネントは、まとめて「Apple FIPS 暗号モジュール (ソフトウェアバージョン:1.1)」と呼ばれます。このモジュールは、FIPS 140-2 レベル 1 適合性検証証明書 #1701 を取得しており、CMVP の Web ページの「Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules」というリストに掲載されています。
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
NIST/CSEC の CMVP および FIPS 140-2 の背景
NIST (国立標準技術研究所) は、FIPS (連邦情報処理標準) 140-2 やその他の暗号ベースの規格を検証する CMVP (暗号モジュール評価プログラム) を立ち上げました。CMVP は、NIST と CSEC (カナダ通信セキュリティ機関) が共同で運営しています。
NIST/CSEC の CMVP のメインの Web サイトは、NIST により運営されており、このプログラム、関連するすべての規格と文書、FIPS 140-1 および FIPS 140-2 に準拠する暗号モジュールの公式のリストについての完全な詳細を掲載しています。
FIPS 140-2 は、特に暗号モジュールのセキュリティ要件に関連しています。この規格には質の異なる 4 つのセキュリティレベルがあり、レベル 1、レベル 2、レベル 3、レベル 4 の順にセキュリティが厳格になっています。これらのレベルは、暗号モジュールが導入される可能性があるアプリケーションおよび環境を幅広く含むよう設定されています。各レベルの完全な説明は、NIST の Web サイト (FIPS PUB 140-2) にある FIPS 140-2 関連の刊行物に掲載されています。
FIPS 140-2 準拠として認定された暗号モジュールは、カナダと米国の連邦政府関係機関によって機密情報保護用のモジュールとして認められます。
下記の記事も参照してください。
FIPS を有効にした Mac OS X v10.6 Snow Leopard システムを設定および管理する方法
FIPS Administration Tools Crypto Officer Role Guide (Mac OS X v10.6)
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。
