本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

FIPS 140のサポート

連邦情報処理標準 (FIPS) は、暗号化モジュールの一連の標準です。 FIPSの詳細については、米国国立標準技術研究所 (NIST) のWebサイト を参照してください。 Deep Securityには、暗号化モジュールをFIPS 140規格に準拠したモードで実行できるようにする設定が用意されています。 Java暗号化モジュールおよびネイティブ暗号化モジュール (OpenSSL)の認定を取得しています。

Deep Securityは現在、FIPS 140-2標準をサポートしています。 FIPS-140の新しいバージョンがリリースされると、それらの標準をサポートするための認定が取得されます。

FIPSモードではなくFIPSモードで実行されているDeep Securityの配信には、いくつかの違いがあります(FIPSモードでFIPSモードでDeep Securityを操作する場合の違い参照)。

Deep Security Manager SSL証明書を置き換える場合は、置き換えてからFIPSモードを有効にします。FIPSモードの有効化後に証明書を置き換える必要がある場合は、FIPSモードを無効にし、Deep Security ManagerのTLS証明書を変更します。の手順を実行してから、FIPSモードを再び有効にします。

Deep SecurityをFIPS 140モードで動作させるには、次の手順を実行します。

  1. Deep SecurityをFIPSモードで動作させる場合の FIPSモードでDeep Securityを操作する場合の違い を確認し、FIPS 140モードで動作する場合に必要なDeep Security機能を使用できることを確認します。
  2. Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
  3. Deep Security ManagerでFIPSモードを有効にする
  4. Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
  5. 保護しているコンピュータのOSのFIPSモードを有効にする
  6. 保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
  7. Deep Security Virtual ApplianceでFIPSモードを有効にする
  8. Red Hat Enterprise Linux (RHEL) 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、「AgentのLinux Secure Bootの設定」を参照してください。

FIPSモードを無効にすることもできます。

FIPSモードでDeep Securityを操作する場合の違い

FIPSモードで使用可能な機能

FIPSモードで動作している場合、 Deep Securityの次の機能は使用できません。

  • VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[Agent]→[AgentレスによるvCloud保護] 設定も使用できません。
  • マルチテナント環境。
  • Deep Security Scanner (SAP Netweaverとの統合)。
  • 脅威インテリジェンス。
  • SAML 2.0を介したIDプロバイダサポート

次のDeep Securityの機能は、 Deep Security Manager 20 LTS Update 2022-03-22以降で使用できます。

  • ロードバランサの設定には、 [管理]→[システム設定]→[詳細]→[ロードバランサ] からアクセスできます。
  • SMTP設定の一部としてのSTARTTLSオプション。

FIPSモードが有効かどうかを確認する方法

Deep Security ManagerでFIPSモードが有効になっているかどうかを確認するには、 [管理]→[システム情報] の順に選択します。 [システムの詳細] で、[Managerノード] を展開します。[FIPS] フィールドは、FIPSモードが有効か無効かを示します。

Deep Security ManagerでFIPSが有効になっている場合複数のノードにデプロイ、すべてのマネージャ ノードで FIPS が有効になっている必要があります。

FIPSモードのシステム要件

Deep Security Managerの要件

FIPSモードを有効にしたDeep Security Managerの要件は、いくつかの例外を除き、「システム要件」で説明されている要件と同じです。

次のオペレーティングシステムのみがサポートされています。

  • Red Hat Enterprise Linux 9 (64ビット)
  • Red Hat Enterprise Linux 8 (64ビット)
  • Red Hat Enterprise Linux 7 (64ビット)
  • Windows Server 2019 (64ビット)
  • Windows Server 2016 (64ビット)
  • Windows Server 2012または2012 R2 (64ビット)

次のデータベースのみがサポートされます。

SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。

Microsoft SQL Serverの名前付きパイプはサポートされません。

AWS MarketplaceはFIPSモードをサポートしていません。

Deep Security Agentの要件

FIPSモードを有効にしたDeep Security Agentは、「システム要件」で説明されている要件と同じです。FIPSモードは、一部のOSのみでサポートされています。この機能をサポートしているOSについては、「各プラットフォームでサポートされている機能」を参照してください。

Deep Security Virtual Applianceの要件

Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。

  • Deep Security Manager 11.0 Update 3以降。
  • Deep Security Virtual Appliance 10.0または11.0以降。
  • Deep Security Agent 11.0 for RedHat_EL7以降 (Applianceの組み込みのAgentとして使用されます。)

Applianceのシステム要件の詳細については、システム要件を参照してください。

Deep Security ManagerでFIPSモードを有効にする

WindowsでDeep Security ManagerのFIPSモードを有効にする

  1. Microsoft管理コンソールの[サービス]画面を使用して、 Trend Micro Deep Security Managerサービスを停止します。
  2. Windowsのコマンドラインで、 Deep Security Managerの作業フォルダ(例: C:\Program Files\Trend Micro\Deep Security Manager)に移動します。
  3. 次のコマンドを入力して、FIPSモードを有効にします。
  4. dsm_c -action enablefipsmode

  5. Deep Security Managerサービスを再起動します。

LinuxでDeep Security ManagerのFIPSモードを有効にする

  1. Deep Security Managerコンピュータで、コマンドラインを開き、 Deep Security Managerの作業フォルダ( /opt/dsmなど)に移動します。
  2. 次のコマンドを入力して、Deep Security Managerサービスを停止します。

    service dsm_s stop

  3. 次のコマンドを入力して、FIPSモードを有効にします。
  4. dsm_c -action enablefipsmode

  5. 次のコマンドを入力して、 Deep Security Managerサービスを再起動します。
  6. service dsm_s start

FIPSモードで外部サービスに接続する

Deep Security ManagerがFIPSモードで動作していて、SSL接続を使用して外部サービス( Active Directory、vCenter、またはNSX Managerなど)に接続する場合は、事前にその外部サービスのSSL証明書をManagerにインポートする必要があります。それに接続しています。証明書をインポートする手順については、信頼された証明書の管理を参照してください。

Active Directoryからコンピュータをインポートする手順については、Active Directoryコンピュータを追加するを参照してください。

ユーザ情報とActive Directoryを同期する手順については、ユーザの追加と管理を参照してください。

Deep Security ManagerにVMware vCenterを追加する手順については、 vCenter - FIPSモードを追加するを参照してください。

保護しているコンピュータのOSのFIPSモードを有効にする

サポートされているオペレーティングシステムでFIPSモードを有効にする手順については、オペレーティングシステムのプロバイダが提供する次のドキュメントを参照してください。

保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする

次の情報は、 Deep Security ManagerでFIPSモードを有効にした後にインストールするDeep Security 11.0以降の新しいAgentには適用されません。これらのバージョンでは、FIPSモードがすでにAgentに対して有効になっています。

Windows AgentのFIPSモードを有効にする

  1. Windowsシステムのルートフォルダ ( C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
  2. ファイルに次の行を追加します。

    FIPSMode=1

  3. Deep Security Agentサービスを再起動します。

Linux AgentでFIPSモードを有効にする

サポートされているLinuxエージェント: RHEL 7、RHEL 8、RHEL 9、 CentOS 7、Amazon Linux 2、Ubuntu 18、Ubuntu 20、SUSE 12、SUSE 15、Oracle 8、Rocky 9、Miracle 8、Miracle 9、Debian Linux 10 、およびDebian Linux 11。

  1. /etc/で、ds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
  2. 次の行をファイルに追加します。

    FIPSMode=1

  3. Deep Security Agentを再起動します。

    SysV initスクリプトの使用: /etc/init.d/ds_agent restart

    systemdコマンドの使用: systemctl restart ds_agent

Ubuntu 18またはUbuntu 20でFIPSモードを有効にする方法の詳細については、「 FIPS for Ubuntu」を参照してください。

Deep Security Virtual ApplianceでFIPSモードを有効にする

  1. <DSVA_root>/etc/で、 ds_agent.confという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
  2. ファイルに次の行を追加します。

    FIPSMode=1

  3. コマンドラインからApplianceを再起動します。

    SysV initスクリプトの使用: /etc/init.d/ds_agent restart

    systemdコマンドの使用: systemctl restart ds_agent

PostgreSQLデータベースでFIPSモードを使用する

Deep Security ManagerデータベースとしてPostgreSQLを使用している場合は、「データベースの要件」に記載されている要件に加えて、別の要件があります。

FIPSモードでは、キーストアはBCFKSタイプである必要があります。 Javaの初期設定のキーストア ( C:\Program Files\Trend Micro\ Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts ) を直接変換する代わりに、初期設定のキーストアを別の場所にコピーして、SSLの初期設定のキーストアとして使用します。接続:

  1. PostgreSQL環境を作成します。
  2. PostgreSQLサーバからserver.crtファイルをコピーし、<Deep_Security_Manager_install_folder>に貼り付けます。
  3. Deep Security Managerをインストールします。
  4. Deep Security ManagerでFIPSモードを有効にする
  5. 初期設定のJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします。

    Windowsの場合:

    copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"

    Linuxの場合:

    cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"

  6. キーストアファイルをJKSからBCFKSに変換します。次のコマンドは、 Deep Security Managerのインストールフォルダにcacerts.bcfksファイルを作成します。

    Windowsの場合:

    cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

    keytool -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider

    <changeit>の部分は、適切な値に置き換えてください。

    Linuxの場合:

    cd /opt/dsm/jre/bin

    keytool -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider

    <changeit>の部分は、適切な値に置き換えてください。

  7. 証明書をインポートします (" Deep_Security_Manager_root_folder/server.crt ")。

    Windowsの場合:

    cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin

    keytool -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS

    <changeit>の部分は、適切な値に置き換えてください。

    Linuxの場合:

    cd /opt/dsm/jre/bin

    keytool -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -storetype BCFKS

    <changeit>の部分は、適切な値に置き換えてください。

  8. Deep Securityインストーラは.vmoptionsファイルを使用してJVMパラメータを割り当てることができます。

    Windowsの場合、 Deep Security Manager.vmoptions という名前のファイルをインストールフォルダに作成し、次のテキストをファイルに追加します。

    ファイル拡張子が .vmoptionsであることを確認してください。

    -Djavax.net.ssl.keyStoreProvider=CCJ

    -Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks

    -Djavax.net.ssl.trustStorePassword=<changeit>

    -Djavax.net.ssl.keyStoreType=BCFKS

    -Djavax.net.ssl.trustStoreType=BCFKS

    <changeit>の部分は、適切な値に置き換えてください。

    Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。

    -Djavax.net.ssl.keyStoreProvider=CCJ

    -Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks

    -Djavax.net.ssl.trustStorePassword=<changeit>

    -Djavax.net.ssl.keyStoreType=BCFKS

    -Djavax.net.ssl.trustStoreType=BCFKS

    <changeit>の部分は、適切な値に置き換えてください。

  9. <Deep Security Managerのディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルをテキストエディタで開いて次の文字列を追加します。

    database.PostgreSQL.connectionParameters=ssl\=true

  10. テキストエディタで/opt/postgresql/data/postgresql.confファイルを開いて、次の文字列を追加します。

    ssl= on

    ssl_cert_file= 'server.crt'

    ssl_ksy_file= 'server.key'

  11. PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
  12. 接続を確認します。

    cd /opt/postgresql/bin

    ./psql -h 127.0.0.1 -Udsm dsm

    プロンプトが表示されたら、パスワードを入力します。次のように表示されます。

    dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';

Microsoft SQL ServerデータベースでFIPSモードを使用する

Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用している場合は、FIPSモードを有効にする前に、次の手順に従ってデータベースのSSL暗号化を設定する必要があります。

  1. Deep Security Managerサービスを停止します。
  2. SQL Server証明書を使用してBCFKSKeystoreファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\bin内でキーツールを使用できます。
  3. 次のコマンドを使用してSQL Server証明書 (C:\sqlserver_cert.cer) を新しいKeystoreファイル (C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks) にインポートします。
    Deep Security Managerパッケージにccj-3.0.0.jarファイルが含まれていない場合は、FIPSページからJARファイルを取得します。

    keytool -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS

    <changeit>の部分は、適切な値に置き換えてください。

    インポートプロセス中に、[はい] を選択してこの証明書を信頼します。

  4. キーストアファイルが正常に作成された場合は、次のコマンドを使用して、キーストアにリストされている証明書を確認できます。

    keytool -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS -storepass <changeit>

    <changeit>の部分は、適切な値に置き換えてください。

  5. テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。

    database.SqlServer.encrypt=true

    database.SqlServer.trustServerCertificate=false

    database.SqlServer.fips=true

    database.SqlServer.trustStorePassword=<changeit>

    database.SqlServer.fipsProvider=CCJ

    database.SqlServer.trustStoreType=BCFKS

    database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks

    <changeit>の部分は、適切な値に置き換えてください。

  6. 必要に応じて、SQLサーバとクライアントの接続プロトコルを名前付きパイプからTCP/IPに変更できます。これにより、FIPSのサポートが可能になります。
    1. SQL Server構成マネージャで、[SQL Serverネットワーク構成]→[MSSQLSERVER のプロトコル] を選択し、[TCP/IP] を有効にします。
    2. [SQL Native Client 11.0 の構成]→[クライアント プロトコル] に移動し、[TCP/IP] を有効にします。
    3. Microsoftの指示に従って、SQL Serverデータベースのインスタンスの暗号化接続を有効にします。データベース エンジンへの暗号化接続を有効にするを参照してください。
    4. dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
  7. Deep Security Managerサービスを再起動します。
  8. Deep Security ManagerでFIPSモードを有効にする

FIPSモードを無効にする

  1. Deep Security ManagerのFIPSモードを無効にするには、有効化の際に使用した手順 (Deep Security ManagerでFIPSモードを有効にするを参照) に従いますが、手順3で次のコマンドを使用します。

    dsm_c -action disablefipsmode

  2. Deep Security AgentのFIPSモードを無効にするには、有効化の際に使用した手順 (保護しているコンピュータでDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。