米国政府の規制の準拠
米国政府のセキュリティーおよび情報技術に関する規制を順守することは、販売の障害をなくすことにつながります。また、これにより HCL® が自社製品を業界内で最もセキュアなものにするべく取り組んでいるということを、世界中の見込み客に実証することができます。このトピックでは、AppScan® ソース がサポートする規格とガイドラインについて示します。
- インターネット・プロトコル・バージョン 6 (IPv6)
- 連邦情報処理標準 (Federal Information Processing Standard) (FIPS)
- 米国連邦情報・技術局 (NIST) Special Publication (SP) 800-131a
- Windows United States Government Configuration Baseline (USGCB) を使用するように構成されているマシン
インターネット・プロトコル・バージョン 6 (IPv6)
AppScan® ソース は IPv6 に対して有効ですが、以下の例外があります。
- IPv6 の数値アドレスの入力はサポートされておらず、代わりにホスト名を入力する必要があります。IPv4 の数値アドレスの入力はサポートされています。
- Rational Team Concert™ に接続する場合は、IPv6 はサポートされません。
連邦情報処理標準 (Federal Information Processing Standard) (FIPS)
AppScan® ソース でサポートされている Windows™ プラットフォームおよび Linux™ プラットフォーム上では、AppScan® ソース は、FIPS 140-2 の認定済み暗号モジュールと承認されたアルゴリズムを使用することで、FIPS 出版物 140-2 に対応しています。
AppScan® ソース FIPS 準拠に関する背景情報を学習し、AppScan® ソース FIPS 140-2 モードを有効および無効にする方法を確認するには、以下の技術情報を参照してください。
米国連邦情報・技術局 (NIST) Special Publication (SP) 800-131a
NIST SP 800-131A ガイドラインは、暗号鍵管理に関する指針を示しています。このガイドラインには、以下の内容が含まれています。
- 鍵管理の手順。
- 暗号アルゴリズムの使用方法。
- 使用するアルゴリズムとそのアルゴリズムの最小強度。
- セキュア通信のための鍵の長さ。
政府機関および金融機関は、NIST SP 800-131A ガイドラインを使用して、製品が指定のセキュリティー要件に準拠していることを確認します。
NIST SP 800-131A は、AppScan® ソース が FIPS 140-2 モードで作動している場合のみサポートされます。AppScan® ソース FIPS 140-2 モードを有効および無効にする方法については、連邦情報処理標準 (Federal Information Processing Standard) (FIPS) を参照してください。
- AppScan® ソース・データベース をインストールしていない場合 (クライアント・コンポーネントのみをインストールしている場合など)、<data_dir>\config\ounce.ozsettings(<data_dir> は AppScan® ソース プログラム・データの場所です。説明は インストールとユーザー・データ・ファイルの場所) を変更して Transport Layer Security V1.2 を適用できます。このファイルで、以下の設定を見つけます。
<Setting name="tls_protocol_version" read_only="false" default_value="0" value="0" description="Minor Version of the TLS Connection Protocol" type="text" display_name="TLS Protocol Version" display_name_id="" available_values="0:1:2" hidden="false" force_upgrade="false" />
設定で
value="0"
をvalue="2"
に変更し、ファイルを保存します。 - AppScan® ソース・データベース をインストールしている場合は、AppScan® ソース と Enterprise Server の両方をインストールした後に、HCL®AppScan® Enterprise Server データベース構成ツールでトランスポート層セキュリティー V1.2 を適用します。
Windows™ United States Government Configuration Baseline (USGCB) を使用するように構成されているマシン
AppScan® ソース では、USGCB 仕様で構成されている Windows™ マシンでアプリケーションをスキャンできます。