BigFix サーバーでの FIPS 140-2 の構成
FIPS 140-2 を使用するように BigFix サーバーを構成することができます。
このようにすることで、BigFix 暗号モジュールの状態がエラーである場合、BigFix は始動しないか、実行を停止します。
モジュールの適切なセットアップと初期化を検証するには、以下の手順を実行してクライアント・ログ・ファイルを確認する必要があります。
- BigFix サーバーで、「スタート」>「すべてのプログラム」>「BigFix」>「BigFix 管理ツール」を選択して BigFix 管理ツールを起動します。
- サイト・ライセンスのロケーションを参照し、「OK」をクリックします。
- 「マストヘッドの管理」タブを選択します。
- 「マストヘッドの編集」をクリックします。
- 「FIPS 140-2 に準拠した暗号を使用する必要がある」にチェック・マークを付けて、FIPS 140-2 を有効にします。
- 「OK」をクリックします。
- アクションを実行するための管理者パスワードを入力します。
- 設定が有効になったことを確認するには、クライアント・ログ・ファイル (ログのデフォルト・パスは ) で
C:\Program Files\BigFix Enterprise\BES Client\__BESData\__Global\Logs\YYYYMMDD.log
以下のタイプのメッセージを確認します。- FIPS 140-2 有効のログ・ファイル・メッセージ
At 14:36:12 -0700 - FIPS mode enabled by masthead. At 14:36:13 -0700 - Cryptographic module initialized successfully in FIPS mode.
- FIPS 140-2 無効のログ・ファイル・メッセージ
At 14:58:28 -0700 - FIPS mode disabled by default. Unrestricted mode
- FIPS 140-2 有効のログ・ファイル・メッセージ
クライアントで
_BESClient_Cryptography_FipsMode
値を設定することで FIPS モードを強制できます。 注: クライアント設定 _BESClient_Cryptography_FipsMode は BES クライアントと Web レポート・コンポーネントのマストヘッドで指定した FIPS 設定を上書きします。値を「なし」に設定すると、BES クライアントと Web レポート・コンポーネントは FIPS ライブラリーを使用しません。値を required に設定すると、FIPS ライブラリーを使用します。
そうすることで、始動時に暗号モジュールでエラーが発生した場合に、クライアントは FIPS モードでは実行されなくなります。
FIPS で検証された暗号ライブラリーのみを使用するように BigFix コンポーネントを強制させるには、以下の手順を実行します。
- BigFix コンソールを起動します。
- 「コンピューター」タブで、リストされている任意のコンピューターを右クリックして、「コンピューター設定の編集」を選択します。
- 「追加」をクリックします。
- 「カスタム設定を追加」ダイアログで、次を入力します。「設定名」に
_BESClient_Cryptography_FipsMode
、 「設定値」にrequired
- 「OK」をクリックします。
- 「対象」タブで
All computers
を選択します。FIPS モードが有効な場合、デジタル署名、暗号化、SHA1/SHA2 ハッシュなどのすべての暗号操作は、FIPS 140-2 レベル 2 の認定を受けた暗号モジュールを使用して実行されます。 - ダイアログの「実行」タブで「再び関連状態になるときは常にこのアクションを再適用する」を選択し、「OK」をクリックします。
注: BigFix Linux サーバーで FIPS 140-2 を有効にするには、『Linux システムでのマストヘッドの編集』で説明されている
-advRequireFIPScompliantCrypto
オプションを参照してください。注:
- FIPS モジュールを有効にする場合、OpenSSL ライブラリーは、独自の自己診断テストを満たすために静的アドレスでロードされる必要があります。
- FIPS モードの始動に関連するエラーで最もよく発生するのは、AIX システムおよび HP-UX システムで暗号モジュールに使用できるシステム・エントロピーが不足している場合のエラーです。
- FIPS モードの設定とメッセージ・レベルの暗号化 (MLE) の設定は互いに独立しています。FIPS は MLE を設定しなくても設定できます。また、その逆も同様です。
メッセージ・レベルの暗号化については、メッセージ・レベルの暗号化 (MLE) の概要およびメッセージ・レベルの暗号化と DSAを参照してください。