FIPS 140-2のサポート

連邦情報処理標準 (FIPS) は暗号化モジュールの一連の標準です。FIPSの詳細情報については、アメリカ国立標準技術研究所 (NIST) のWebサイトを参照してください。Deep Securityには、FIPS 140-2標準に準拠するモードで暗号化モジュールを実行できる設定が用意されています。トレンドマイクロは、Java暗号化モジュールネイティブ暗号化モジュール (OpenSSL) の認証を取得しています。

FIPS以外のモードとFIPSモードで実行するDeep Securityインストールにはいくつかの違いがあります (FIPSモードでDeep Securityを操作する場合の違いを参照)。

Deep Security Manager SSL証明書を置き換える場合は、置き換えてからFIPSモードを有効にします。FIPSモードの有効化後に証明書を置き換える必要がある場合は、FIPSモードを無効にし、Deep Security Manager SSL証明書の置き換えの手順を実行してから、FIPSモードを再び有効にします。

FIPS 140-2モードでDeep Securityを操作するには、次の手順を実行する必要があります。

  1. FIPSモードでDeep Securityを操作する場合の違いを参照して、必要なDeep Security機能がFIPS 140-2モードで操作する場合に利用可能になるようにします。
  2. Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
  3. Deep Security ManagerでFIPSモードを有効にする
  4. Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
  5. 保護しているコンピュータのOSのFIPSモードを有効にする
  6. 保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
  7. Deep Security Virtual ApplianceでFIPSモードを有効にする
  8. RHEL 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、Agent向けのLinux Secure Bootのサポートを参照してください。

また、このセクションでは、FIPSモードを無効にする手順についても説明します。

FIPSモードでDeep Securityを操作する場合の違い

次のDeep Security機能は、FIPSモードで操作する場合には使用できません

  • VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[Agent]→[AgentレスによるvCloud保護] 設定も使用できません。
  • マルチテナント環境
  • ロードバランサ設定 ([管理]→[システム設定]→[詳細]→[ロードバランサ])
  • Deep Security Scanner (SAP Netweaverに統合)
  • Connected Threat Defense機能
  • SAML 2.0を介したIDプロバイダサポート
  • SMTPを設定する場合、STARTTLSオプションを使用できません。

FIPSモードのシステム要件

Deep Security Managerの要件

FIPSモードを有効にしたDeep Security Managerの要件は、次の例外を除き、システム要件の記載内容と同じです。

サポートは次のOSに限定されます。

  • Red Hat Enterprise Linux 7 (64ビット)
  • Windows Server 2016 (64ビット)
  • Windows Server 2012または2012 R2 (64ビット)
  • Windows Server 2008または2008 R2 (64ビット)

サポートは次のデータベースに限定されます。

SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。

Microsoft SQL Serverの名前付きパイプはサポートされません。

Deep Security Agentの要件

FIPSモードが有効なDeep Security Agentの要件はシステム要件の記載内容と同じです。ただし、次のOSはサポートされます。

  • Windows Server 2016 (64ビット)
  • Windows Server 2012または2012 R2 (64ビット)
  • Windows Server 2008または2008 R2 (64ビット)
  • Windows 10 (64ビット)
  • Windows 8 (64ビット)
  • Windows 7 (64ビット)
  • Red Hat Enterprise Linux 7 (64ビット)
  • CentOS 7 (64ビット)

Deep Security Virtual Applianceの要件

Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。

  • Deep Security Manager 11.0 Update 3以降
  • Deep Security Virtual Appliance 10.0または11.0以降
  • Deep Security Agent 11.0 for RedHat_EL7以降 (Applianceの組み込みのAgentとして使用されます)

Applianceのシステム要件の詳細については、システム要件を参照してください。

Deep Security ManagerでFIPSモードを有効にする

WindowsでDeep Security ManagerのFIPSモードを有効にする

  1. Microsoft管理コンソールの [サービス] 画面を使用して「Trend Micro Deep Security Manager」サービスを停止します。
  2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダ (例: C:\Program Files\Trend Micro\Deep Security Manager) に移動します。
  3. 次のコマンドを入力してFIPSモードを有効にします。
  4. dsm_c -action enablefipsmode

  5. Deep Security Managerサービスを再起動します。

LinuxでDeep Security ManagerのFIPSモードを有効にする

  1. Deep Security Managerコンピュータでコマンドラインを開き、/opt/dsmなどのDeep Security Managerの作業フォルダに移動します。
  2. 次のコマンドを入力してDeep Security Managerサービスを停止します。

    service dsm_s stop

  3. 次のコマンドを入力してFIPSモードを有効にします。
  4. dsm_c -action enablefipsmode

  5. 次のコマンドを入力してDeep Security Managerサービスを再起動します。
  6. service dsm_s start

FIPSモードで外部サービスに接続する

Deep Security ManagerをFIPSモードで操作し、SSL接続を使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する場合は、外部サービスのSSL証明書をManagerにインポートしてから接続する必要があります。証明書をインポートする手順については、信頼された証明書の管理を参照してください。

Active Directoryからコンピュータをインポートする手順については、Microsoft Active Directoryからのコンピュータグループの追加を参照してください。

ユーザ情報とActive Directoryを同期する手順については、ユーザの作成と管理を参照してください。

VMware vCenterをDeep Security Managerに追加する手順については、Deep Security ManagerがFIPSモードの場合にvCenterを追加するを参照してください。

保護しているコンピュータのOSのFIPSモードを有効にする

WindowsでFIPSモードを有効にする手順については、Microsoftサポートサイト「システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、署名の"Windows XP およびそれ以降のバージョンの Windows のセキュリティ設定の効果」を参照してください。

RHEL 7またはCentOS 7でFIPSモードを有効にする手順については、Red Hatのドキュメント「米連邦政府の標準および規制」および「How can I make RHEL 6 or RHEL 7 FIPS 140-2 compliant?」を参照してください。

保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする

この手順は、Deep Security ManagerでFIPSモードを有効化した後にインストールしたDeep Security 11.0以降のAgentでは必要ありません。この場合、FIPSモードはすでにAgentに対して有効になっています。

Windows AgentのFIPSモードを有効にする

  1. Windowsシステムのルートフォルダ (C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
  2. 次の行をファイルに追加します。

    FIPSMode=1

  3. Deep Security Agentサービスを再起動します。

RHEL 7またはCentOS 7 AgentのFIPSモードを有効にする

  1. /etc/で、ds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
  2. 次の行をファイルに追加します。

    FIPSMode=1

  3. Deep Security Agentを再起動します。

    SysV initスクリプトの使用:

    /etc/init.d/ds_agent restart

    systemdコマンドの使用:

    systemctl restart ds_agent

Deep Security Virtual ApplianceでFIPSモードを有効にする

  1. <DSVA_root>/etc/で、ds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
  2. 次の行をファイルに追加します。

    FIPSMode=1

  3. コマンドラインからApplianceを再起動します。

    SysV initスクリプトの使用:

    /etc/init.d/ds_agent restart

    systemdコマンドの使用:

    systemctl restart ds_agent

PostgreSQLデータベースでFIPSモードを使用する

Deep Security ManagerデータベースとしてPostgreSQLを使用する場合は、Deep Security Managerで使用するデータベースの準備とに記載されている要件に加えて、別の要件があります。

FIPSモードで、キーストアにBCFKSタイプを指定する必要があります。javaの初期設定キーストア (C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts) を直接変換する代わりに、初期設定のキーストアを別の場所にコピーし、SSL接続の初期設定のキーストアとして使用します。

  1. PostgreSQL環境を作成する
  2. server.crt」ファイルをPostgreSQLサーバからコピーし、<Deep Security Managerのインストールフォルダ>に貼り付けます。
  3. Deep Security Managerをインストールします。
  4. Deep Security ManagerでFIPSモードを有効にする
  5. 初期設定のJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします。

    Windowsの場合:

    copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"

    Linuxの場合:

    cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"

  6. KeystoreファイルをJKSからBCFKSに変換します。次のコマンドにより、Deep Security Managerのインストールフォルダにcacerts.bcfksファイルが作成されます。

    Windowsの場合:

    cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

    keytool -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider

    Linuxの場合:

    cd /opt/dsm/jre/bin

    keytool -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider

  7. 証明書をインポートします ("Deep Security Manager root folder/server.crt")。

    Windowsの場合:

    cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

    keytool -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS

    Linuxの場合:

    cd /opt/dsm/jre/bin

    keytool -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -storetype BCFKS

  8. Deep Securityインストーラは.vmoptionsファイルを使用してJVMパラメータを割り当てることができます。

    Windowsの場合、インストールフォルダにDeep Security Manager.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。-Djavax.net.ssl.keyStoreProvider=CCJ

    -Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks

    -Djavax.net.ssl.trustStorePassword=<changeit>

    -Djavax.net.ssl.keyStoreType=BCFKS

    -Djavax.net.ssl.trustStoreType=BCFKS

    Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。

    -Djavax.net.ssl.keyStoreProvider=CCJ

    -Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks

    -Djavax.net.ssl.trustStorePassword=<changeit>

    -Djavax.net.ssl.keyStoreType=BCFKS

    -Djavax.net.ssl.trustStoreType=BCFKS

  9. <Deep Security Managerのディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルをテキストエディタで開いて次の文字列を追加します。

    database.PostgreSQL.connectionParameters=ssl=true

  10. テキストエディタで /opt/postgresql/data/postgresql.confファイルを開いて、次の文字列を追加します。

    ssl= on

    ssl_cert_file= 'server.crt'

    ssl_ksy_file= 'server.key'

  11. PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
  12. 接続を確認します。

    cd /opt/postgresql/bin

    ./psql -h 127.0.0.1 -Udsm dsm

    プロンプトが表示されたら、パスワードを入力します。次のように表示されます。

    dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';

Microsoft SQL ServerデータベースでFIPSモードを使用する

Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用する場合は、FIPSモードを有効化するに以下の手順に従ってデータベースSSL暗号化を設定する必要があります。

  1. Deep Security Managerサービスを停止します。
  2. SQL Server証明書を使用してBCFKSKeystoreファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\bin内でキーツールを使用できます。
  3. 次のコマンドを使用してSQL Server証明書 (C:\sqlserver_cert.cer) を新しいKeystoreファイル (C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks) にインポートします。
    Deep Security Managerパッケージにccj-3.0.0.jarファイルが含まれない場合は、jarファイルをFIPSページから取得します。

    keytool -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS

    インポートプロセス中に、[はい] を選択してこの証明書を信頼します。

  4. Keystoreファイルの作成に成功すると、次のコマンドを使用してキーストアに記載された証明書を表示できるようになります。

    keytool -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS -storepass <changeit>

  5. テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。

    database.SqlServer.encrypt=true

    database.SqlServer.trustServerCertificate=false

    database.SqlServer.fips=true

    database.SqlServer.trustStorePassword=<changeit>

    database.SqlServer.fipsProvider=CCJ

    database.SqlServer.trustStoreType=BCFKS

    database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks

  6. 必要に応じて、SQLサーバ/クライアント接続プロトコルを名前付きパイプからTCP/IPに変更することもできます。これにより、Deep Security 10.2へのアップグレード後にFIPSをサポートできるようになります。
    1. SQL Server構成マネージャで、[SQL Serverネットワーク構成]→[MSSQLSERVER のプロトコル] を選択し、[TCP/IP] を有効にします。
    2. [SQL Native Client 11.0 の構成]→[クライアント プロトコル] に移動し、[TCP/IP] を有効にします。
    3. Microsoftから提供される手順に従って、SQL Serverデータベースのインスタンスで暗号化された接続を有効にします。「データベース エンジンへの暗号化接続の有効化」を参照してください。
    4. dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
  7. Deep Security Managerサービスを再起動します。
  8. Deep Security ManagerでFIPSモードを有効にする

FIPSモードを無効にする

  1. Deep Security ManagerのFIPSモードを無効にするには、有効化の際に使用した手順 (Deep Security ManagerでFIPSモードを有効にするを参照) に従いますが、手順3で次のコマンドを使用します。

    dsm_c -action disablefipsmode

  2. Deep Security AgentのFIPSモードを無効にするには、有効化の際に使用した手順 (保護しているコンピュータでDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。