FIPS 140のサポート

連邦情報処理規格 (FIPS) は暗号化モジュールのための一連の標準です。詳細については、米国国立標準技術研究所 (NIST) のウェブサイトをご覧ください。Deep Security は、暗号化モジュールが FIPS 140 標準に準拠したモードで動作するようにする設定を提供します。トレンドマイクロは、Java暗号化モジュールとネイティブ暗号化モジュール (OpenSSL) の認証を取得しています。

現在、Deep Security は FIPS 140-2 標準に対応しています。FIPS-140 の新しいバージョンがリリースされると、トレンドマイクロはそれらの標準をサポートするための認証を取得します。

FIPS以外のモードとFIPSモードで実行するDeep Securityインストールにはいくつかの違いがあります。詳細については、Deep SecurityをFIPSモードで操作する際の違いを参照してください。

Deep Security Manager SSL証明書を置き換える場合は、FIPSモードを有効にする前に行ってください。FIPSモードの有効化後に証明書を置き換える必要がある場合は、FIPSモードを無効にし、Deep Security ManagerのTLS証明書を変更します。の手順を実行してから、FIPSモードを再び有効にします。

Deep SecurityをFIPS 140モードで動作させるには、次の手順を実行します。

1. Deep SecurityをFIPSモードで動作させる場合の Deep SecurityをFIPSモードで操作する際の違い を確認し、FIPS 140モードで動作する場合に必要なDeep Security機能を使用できることを確認します。
2. Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
3. Deep Security ManagerでFIPSモードを有効にする。
4. Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
5. 保護しているコンピュータのOSのFIPSモードを有効にする。
6. 保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
7. Deep Security Virtual ApplianceでFIPSモードを有効にする。
8. Red Hat Enterprise Linux (RHEL) 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、「AgentのLinux Secure Bootの設定」を参照してください。

FIPSモードを無効にすることもできます。

Deep SecurityをFIPSモードで操作する際の違い

次の内容はDeep Security Manager 20.0.619 (20 LTS Update 2022-03-22) 以降で利用可能です:

• ロードバランサ設定、[管理]→[システム設定]→[詳細]→[ロードバランサ]からアクセス可能。
• STARTTLS オプションは、[管理]→[システム設定]→[SMTP] からアクセスできます。
• マルチテナント環境。

FIPSモードで操作している場合、次の機能は利用できません:

• VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[Agent]→[AgentレスによるvCloud保護] 設定も使用できません。
• Deep Security Scanner (SAP Netweaverとの統合)。
• 脅威インテリジェンス。

Deep Security ManagerでFIPSモードが有効になっているか確認する

Deep Security ManagerでFIPSモードが有効かどうかを確認するには、管理 > システム情報に移動します。システム詳細の下で、マネージャノードを展開します。FIPSフィールドは、FIPSモードが有効か無効かを示します。

Deep Security ManagerでFIPSが有効になっている場合複数のノードにデプロイ、すべてのマネージャ ノードで FIPS が有効になっている必要があります。

FIPSモードのシステム要件

Deep Security Managerの要件

FIPSモードを有効にしたDeep Security Managerの要件は、いくつかの例外を除き、「システム要件 」で説明されている要件と同じです。

次のオペレーティングシステムのみがサポートされています。

• Red Hat Enterprise Linux 10 (64-bit)
• Red Hat Enterprise Linux 9 (64ビット)
• Red Hat Enterprise Linux 8 (64ビット)
• Red Hat Enterprise Linux 7 (64ビット)
• Windows Server 2019 (64ビット)
• Windows Server 2016 (64ビット)
• Windows Server 2012または2012 R2 (64ビット)

次のデータベースのみがサポートされます。

• PostgreSQL 17 (FIPSモードをPostgreSQLデータベースで使用するを参照)
• PostgreSQL 16 (FIPSモードをPostgreSQLデータベースで使用するを参照)
• PostgreSQL 15 (FIPSモードをPostgreSQLデータベースで使用するを参照)
• PostgreSQL 14 (FIPSモードをPostgreSQLデータベースで使用するを参照)
• Microsoft SQL Server 2019 Enterprise Edition ( Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
• Microsoft SQL Server 2016 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
• Microsoft SQL Server 2014 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
• Microsoft SQL Server 2012 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)

SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。

Microsoft SQL Serverの名前付きパイプはサポートされません。

AWS MarketplaceはFIPSモードをサポートしていません。

Deep Security Agentの要件

FIPSモードを有効にしたDeep Security Agentは、「システム要件 」で説明されている要件と同じです。FIPSモードは、一部のOSのみでサポートされています。この機能をサポートしているOSについては、各プラットフォームでサポートされている機能を参照してください。

Deep Security Virtual Applianceの要件

Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。

• Deep Security Manager 11.0 Update 3以降。
• Deep Security Virtual Appliance 10.0または11.0以降。
• Deep Security Agent 11.0 for RedHat_EL7以降 (Applianceの組み込みのAgentとして使用されます。)

Applianceのシステム要件の詳細については、システム要件 を参照してください。

Deep Security ManagerでFIPSモードを有効にする

WindowsでDeep Security ManagerのFIPSモードを有効にする

1. Microsoft管理コンソールの サービス 画面を使用してTrend Micro Deep Security Managerサービスを停止します。
2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダに移動します。例: C:\Program Files\Trend Micro\Deep Security Manager。
3. 次のコマンドを入力して、FIPSモードを有効にします。

dsm_c -action enablefipsmode

4. Deep Security Managerサービスを再起動します。

LinuxでDeep Security ManagerのFIPSモードを有効にする

1. Deep Security Managerコンピュータで、コマンドラインを開き、 Deep Security Managerの作業フォルダ（ /opt/dsmなど）に移動します。
2. 次のコマンドを入力して、Deep Security Managerサービスを停止します。

   service dsm_s stop

3. 次のコマンドを入力して、FIPSモードを有効にします。

dsm_c -action enablefipsmode

4. 次のコマンドを入力して、 Deep Security Managerサービスを再起動します。

service dsm_s start

FIPSモードで外部サービスに接続する

Deep Security ManagerがFIPSモードで動作していて、SSL接続を使用して外部サービス（ Active Directory、vCenter、またはNSX Managerなど）に接続する場合は、事前にその外部サービスのSSL証明書をManagerにインポートする必要があります。それに接続しています。証明書をインポートする手順については、信頼された証明書の管理を参照してください。

Active Directoryからコンピュータをインポートする手順については、Active Directoryコンピュータを追加するを参照してください。

ユーザ情報とActive Directoryを同期する手順については、ユーザの追加と管理を参照してください。

Deep Security ManagerにVMware vCenterを追加する手順については、 vCenter - FIPSモードを追加するを参照してください。

保護しているコンピュータのOSのFIPSモードを有効にする

サポートされているオペレーティングシステムでFIPSモードを有効にする手順については、オペレーティングシステムのプロバイダが提供する次のドキュメントを参照してください。

• Windows: システム暗号化: Windows XPおよびそれ以降のバージョンのWindowsでの暗号化、ハッシュ化、および署名のセキュリティ設定にFIPS準拠のアルゴリズムを使用する
• RHEL 7またはCentOS 7：連邦規格および規制 および RHEL 6またはRHEL 7 FIPS 140-2準拠のを作成する方法
• RHEL 8: RHEL 8はFIPS 140-2要件に対応するように設計されています
• RHEL 9: RHELをFIPSモードに切り替える
• RHEL 10: RHELをFIPSモードに切り替える
• Amazon Linux 2：Amazon Linux 2でFIPSモードを有効にする
• Amazon Linux 2023: Amazon Linux 2023でFIPSモードを有効にする
• SUSE Linux Enterprise Server 12： SUSE Linux Enterprise Server 12でFIPSモードを有効にする
• SUSE Linux Enterprise Server 15： SUSE Linux Enterprise Server 15でFIPSモードを有効にする
• Oracle Linux 8: Oracle Linux 8 - システムセキュリティの強化
• Oracle Linux 10: Oracle Linux 10 - システムセキュリティの強化
• Rocky Linux 9: FIPS準拠のLinuxマシンを構成する
• Rocky Linux 10: FIPS準拠のLinuxマシンを構成する
• Miracle Linux 8: RHEL 8ドキュメントを使用したFIPSモードでのシステムのインストール
• Miracle Linux 9: RHEL 9ドキュメントを使用したFIPSモードでのシステムのインストール
• Debian Linux 10: DebianでFIPSモードを有効にする
• Debian Linux 11: DebianでFIPSモードを有効にする
• Debian Linux 13: DebianでのFIPSモードの有効化

保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする

次の情報は、Deep Security ManagerでFIPSモードを有効にした後にインストールするDeep Security 11.0以降のエージェントには適用されません。これらのバージョンでは、エージェントに対してFIPSモードが既に有効になっています。

Windows AgentのFIPSモードを有効にする

1. Windowsシステムのルートフォルダ ( C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
2. ファイルに次の行を追加します。

   FIPSMode=1

3. Deep Security Agentサービスを再起動します。

Linux AgentでFIPSモードを有効にする

サポートされているLinuxエージェントは次のとおりです: RHEL 7、RHEL 8、RHEL 9、RHEL 10、CentOS 7、Amazon Linux 2、Amazon Linux 2023、Ubuntu 18、Ubuntu 20、SUSE Linux 12、SUSE Linux 15、Oracle Linux 8、Oracle Linux 10、Rocky Linux 9、Rocky Linux 10、Miracle Linux 8、Miracle Linux 9、Debian Linux 10、Debian Linux 11、Debian Linux 13。

1. /etc/でds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、まだファイルがない場合は新しいファイルを作成します。
2. ファイルに次の行を追加します。

   FIPSMode=1

3. Deep Security Agentを再起動します。

   SysV initスクリプトの使用： /etc/init.d/ds_agent restart

   systemdコマンドの使用： systemctl restart ds_agent

Ubuntu 18またはUbuntu 20でFIPSモードを有効にする方法の詳細については、「 FIPS for Ubuntu」を参照してください。

Deep Security Virtual ApplianceでFIPSモードを有効にする

1. <DSVA_root>/etc/で、 ds_agent.confという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
2. ファイルに次の行を追加します。

   FIPSMode=1

3. コマンドラインからApplianceを再起動します。

   SysV initスクリプトの使用： /etc/init.d/ds_agent restart

   systemdコマンドの使用： systemctl restart ds_agent

FIPSモードをPostgreSQLデータベースで使用する

Deep Security ManagerデータベースとしてPostgreSQLを使用している場合は、「データベースの要件」に記載されている要件に加えて、別の要件があります。

FIPSモードでは、キーストアはBCFKSタイプである必要があります。 Javaの初期設定のキーストア ( C:\Program Files\Trend Micro\ Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts ) を直接変換する代わりに、初期設定のキーストアを別の場所にコピーして、SSLの初期設定のキーストアとして使用します。接続:

1. PostgreSQL環境を作成します。
2. PostgreSQLサーバからserver.crtファイルをコピーし、<Deep_Security_Manager_install_folder>に貼り付けます。
3. Deep Security Managerをインストールします。
4. Deep Security ManagerでFIPSモードを有効にする。
5. 初期設定のJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします。

   Windowsの場合:

   copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"

   Linuxの場合:

   cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"

6. キーストアファイルをJKSからBCFKSに変換します。次のコマンドは、 Deep Security Managerのインストールフォルダにcacerts.bcfksファイルを作成します。

   Windowsの場合:

   cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts

   keytool_fips.cmd -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>

   <changeit>の部分は、適切な値に置き換えてください。

   Linuxの場合:

   cd /opt/dsm/jre/scripts

   keytool_fips.sh -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>

   <changeit>の部分は、適切な値に置き換えてください。

7. 証明書をインポートします "Deep_Security_Manager_root_folder/server.crt"

   Windowsの場合:

   cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts

   keytool_fips.cmd -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -storetype BCFKS

   <changeit>の部分は、適切な値に置き換えてください。

   Linuxの場合:

   cd /opt/dsm/jre/scripts

   keytool_fips.sh -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -storetype BCFKS

   <changeit>の部分は、適切な値に置き換えてください。

8. Deep Securityインストーラは.vmoptionsファイルを使用してJVMパラメータを割り当てる必要があります

   Windowsの場合、 Deep Security Manager.vmoptions という名前のファイルをインストールフォルダに作成し、次のテキストをファイルに追加します。

   -Djavax.net.ssl.keyStoreProvider=BCFIPS

   -Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks

   -Djavax.net.ssl.trustStorePassword=<changeit>

   -Djavax.net.ssl.keyStoreType=BCFKS

   -Djavax.net.ssl.trustStoreType=BCFKS

   <changeit>の部分は、適切な値に置き換えてください。

   Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。

   -Djavax.net.ssl.keyStoreProvider=BCFIPS

   -Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks

   -Djavax.net.ssl.trustStorePassword=<changeit>

   -Djavax.net.ssl.keyStoreType=BCFKS

   -Djavax.net.ssl.trustStoreType=BCFKS

   <changeit>の部分は、適切な値に置き換えてください。

9. <Deep Security Managerのディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルをテキストエディタで開いて次の文字列を追加します。

   Windowsの場合:

   database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\server.crt

   Linuxの場合:

   database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=/opt/dsm/server.crt

10. テキストエディタで/opt/postgresql/data/postgresql.confファイルを開いて、次の文字列を追加します

    ssl= on

    ssl_cert_file= 'server.crt'

    ssl_ksy_file= 'server.key'

11. PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
12. 接続を次のように確認します

    cd /opt/postgresql/bin

    ./psql -h 127.0.0.1 -Udsm dsm

    求められたらパスワードを入力してください。次のように表示されます:

    dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';

Microsoft SQL ServerデータベースでFIPSモードを使用する

Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用している場合は、FIPSモードを有効にする前に、次の手順に従ってデータベースのSSL暗号化を設定する必要があります。

1. Deep Security Managerサービスを停止します。
2. SQLサーバ証明書を使用してBCFKSキーストアファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\scriptsのkeytool_fips.cmdを使用できます。
3. 次のコマンドを使用してSQL Server証明書 C:\sqlserver_cert.cer を新しいKeystoreファイル C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks にインポートします。
   

   keytool_fips.cmd -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -storetype BCFKS

   <changeit>の部分は、適切な値に置き換えてください。

   両方の keytool_fips.cmd および keytool_fips.sh ファイルは、DSM 20.0.970 以降のバージョンでのみ利用可能です。これらのファイルが DSM インストールに含まれていない場合は、トレンドマイクロ サポートに連絡してください。

   インポートプロセス中に、[はい] を選択してこの証明書を信頼します。

4. キーストアファイルが正常に作成された場合は、次のコマンドを使用して、キーストアにリストされている証明書を確認できます。

   keytool_fips.cmd -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storetype BCFKS -storepass <changeit>

   <changeit>の部分は、適切な値に置き換えてください。

5. テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。

   database.SqlServer.encrypt=true

   database.SqlServer.trustServerCertificate=false

   database.SqlServer.fips=true

   database.SqlServer.trustStorePassword=<changeit>

   database.SqlServer.fipsProvider=BCFIPS

   database.SqlServer.trustStoreType=BCFKS

   database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks

   <changeit>の部分は、適切な値に置き換えてください。

6. 必要に応じて、SQLサーバとクライアントの接続プロトコルを名前付きパイプからTCP/IPに変更できます。これにより、FIPSのサポートが可能になります。
   1. SQL Server構成マネージャで、[SQL Serverネットワーク構成]→[MSSQLSERVER のプロトコル] を選択し、[TCP/IP] を有効にします。
   2. [SQL Native Client 11.0 の構成]→[クライアント プロトコル] に移動し、[TCP/IP] を有効にします。
   3. Microsoftの指示に従って、SQL Serverデータベースのインスタンスの暗号化接続を有効にします。データベース エンジンへの暗号化接続を有効にするを参照してください。
   4. dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
7. Deep Security Managerサービスを再起動します。
8. Deep Security ManagerでFIPSモードを有効にする。

FIPSモードを無効にする

1. Deep Security ManagerのFIPSモードを無効にするには、有効化の際に使用した手順 (Deep Security ManagerでFIPSモードを有効にするを参照) に従いますが、手順3で次のコマンドを使用します

   dsm_c -action disablefipsmode

2. Deep Security AgentのFIPSモードを無効にするには、有効化の際に使用した手順 (保護しているコンピュータでDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。