SiteProtector と使用する場合の AppScan® Enterprise での NIST 準拠の有効化

SP800-131a は、米国連邦情報・技術局 (NIST) によって公開された要件で、より長い鍵とより強力な暗号化が要求されます。この仕様では、ユーザーが、SP800-131a の厳密な (strict) 適用に移行できるようにするために、遷移 (transition) 構成も提供されています。遷移 (transition) 構成により、ユーザーは FIPS140-2 と SP800-131 の両方が混在した設定で実行することも可能になります。SP800-131a は、transition (遷移) および strict (厳密) の 2 つのモードで実行することができます。すぐに使用可能になるように、AppScan® Enterprise は NIST transition モードに準拠しています。

手順

  1. <install-dir>HCL\AppScan Enterprise\localsetttings.xml に移動し、適切な編集を加えます。
    • NIST transition (SiteProtector では「NIST compatible」と呼ばれます) の場合は、デフォルト設定 <param name='sslCipherMode' value='FIPS' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' /> のままにします。
      注: AppScan® Enterprise は、compatible モードの SiteProtector 2.9 および SiteProtector 3.0、strict モードの SiteProtector 3.0 と連携します。
    • NIST strict の場合は、<param name='sslCipherMode' value='FIPS' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' /><param name='sslCipherMode' value='SP800131' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' /> に置き換えます。
      注: AppScan® Enterprise は、strict モードの SiteProtector 3.0 と連携しますが、compatible モードの SiteProtector 3.0 や、SiteProtector 2.9 とは連携しません。
  2. ファイルを保存して閉じます。