本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
FIPS 140のサポート
連邦情報処理規格 (FIPS) は暗号化モジュールのための一連の標準です。詳細については、米国国立標準技術研究所 (NIST) のウェブサイトをご覧ください。Deep Security は、暗号化モジュールが FIPS 140 標準に準拠したモードで動作するようにする設定を提供します。トレンドマイクロは、Java暗号化モジュールとネイティブ暗号化モジュール (OpenSSL) の認証を取得しています。
現在、Deep Security は FIPS 140-2 標準に対応しています。FIPS-140 の新しいバージョンがリリースされると、トレンドマイクロはそれらの標準をサポートするための認証を取得します。
FIPS以外のモードとFIPSモードで実行するDeep Securityインストールにはいくつかの違いがあります。詳細については、FIPSモードでDeep Securityを操作する場合の違いを参照してください。
Deep Security Manager SSL証明書を置き換える場合は、FIPSモードを有効にする前に行ってください。FIPSモードの有効化後に証明書を置き換える必要がある場合は、FIPSモードを無効にし、Deep Security ManagerのTLS証明書を変更します。の手順を実行してから、FIPSモードを再び有効にします。
Deep SecurityをFIPS 140モードで動作させるには、次の手順を実行します。
- Deep SecurityをFIPSモードで動作させる場合の FIPSモードでDeep Securityを操作する場合の違い を確認し、FIPS 140モードで動作する場合に必要なDeep Security機能を使用できることを確認します。
- Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
- Deep Security ManagerでFIPSモードを有効にする。
- Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
- 保護しているコンピュータのOSのFIPSモードを有効にする。
- 保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
- Red Hat Enterprise Linux (RHEL) 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、「AgentのLinux Secure Bootの設定」を参照してください。
FIPSモードを無効にすることもできます。
FIPSモードでDeep Securityを操作する場合の違い
FIPSモードで使用可能な機能
次の機能は、Deep Security Manager 20.0.619 (20 LTS Update 2022-03-22) 以降で利用可能です
- ロードバランサ設定、[管理]→[システム設定]→[詳細]→[ロードバランサ]からアクセス可能。
- STARTTLS オプションは、[管理]→[システム設定]→[SMTP] からアクセスできます。
FIPSモードで動作している場合、 Deep Securityの次の機能は使用できません。
- VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[Agent]→[AgentレスによるvCloud保護] 設定も使用できません。
- マルチテナント環境。
- Deep Security Scanner (SAP Netweaverとの統合)。
- 脅威インテリジェンス。
FIPSモードが有効かどうかを確認する
Deep Security ManagerでFIPSモードが有効になっているかどうかを確認するには、 [管理]→[システム情報] の順に選択します。 [システムの詳細] で、[Managerノード] を展開します。[FIPS] フィールドは、FIPSモードが有効か無効かを示します。
Deep Security ManagerでFIPSが有効になっている場合複数のノードにデプロイ、すべてのマネージャ ノードで FIPS が有効になっている必要があります。
FIPSモードのシステム要件
Deep Security Managerの要件
FIPSモードを有効にしたDeep Security Managerの要件は、いくつかの例外を除き、「システム要件 」で説明されている要件と同じです。
次のオペレーティングシステムのみがサポートされています。
- Red Hat Enterprise Linux 9 (64ビット)
- Red Hat Enterprise Linux 8 (64ビット)
- Red Hat Enterprise Linux 7 (64ビット)
- Windows Server 2019 (64ビット)
- Windows Server 2016 (64ビット)
- Windows Server 2012または2012 R2 (64ビット)
次のデータベースのみがサポートされます。
- PostgreSQL 13 (PostgreSQLデータベースでFIPSモードを使用するを参照)
- PostgreSQL 12 (PostgreSQLデータベースでFIPSモードを使用するを参照)
- PostgreSQL 11 (PostgreSQLデータベースでFIPSモードを使用するを参照)
- PostgreSQL 9.6 (PostgreSQLデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2019 Enterprise Edition ( Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2016 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2014 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2012 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。
Microsoft SQL Serverの名前付きパイプはサポートされません。
AWS MarketplaceはFIPSモードをサポートしていません。
Deep Security Agentの要件
FIPSモードを有効にしたDeep Security Agentは、「システム要件 」で説明されている要件と同じです。FIPSモードは、一部のOSのみでサポートされています。この機能をサポートしているOSについては、各プラットフォームでサポートされている機能を参照してください。
Deep Security ManagerでFIPSモードを有効にする
WindowsでDeep Security ManagerのFIPSモードを有効にする
- Microsoft管理コンソールの サービス 画面を使用してTrend Micro Deep Security Managerサービスを停止します。
- Windowsコマンドラインで、Deep Security Managerの作業用フォルダに移動します。例: C:\Program Files\Trend Micro\Deep Security Manager。
- 次のコマンドを入力して、FIPSモードを有効にします。
- Deep Security Managerサービスを再起動します。
dsm_c -action enablefipsmode
LinuxでDeep Security ManagerのFIPSモードを有効にする
- Deep Security Managerコンピュータで、コマンドラインを開き、 Deep Security Managerの作業フォルダ( /opt/dsmなど)に移動します。
- 次のコマンドを入力して、Deep Security Managerサービスを停止します。
service dsm_s stop
- 次のコマンドを入力して、FIPSモードを有効にします。
- 次のコマンドを入力して、 Deep Security Managerサービスを再起動します。
dsm_c -action enablefipsmode
service dsm_s start
FIPSモードで外部サービスに接続する
Deep Security ManagerがFIPSモードで動作していて、SSL接続を使用して外部サービス( Active Directory、vCenter、またはNSX Managerなど)に接続する場合は、事前にその外部サービスのSSL証明書をManagerにインポートする必要があります。それに接続しています。証明書をインポートする手順については、信頼された証明書の管理を参照してください。
Active Directoryからコンピュータをインポートする手順については、Active Directoryコンピュータを追加するを参照してください。
ユーザ情報とActive Directoryを同期する手順については、ユーザの追加と管理を参照してください。
Deep Security ManagerにVMware vCenterを追加する手順については、 vCenter - FIPSモードを追加するを参照してください。
保護しているコンピュータのOSのFIPSモードを有効にする
サポートされているオペレーティングシステムでFIPSモードを有効にする手順については、オペレーティングシステムのプロバイダが提供する次のドキュメントを参照してください。
- Windows:System cryptography:Use FIPS準拠アルゴリズム用暗号化、ハッシュ、および署名」のセキュリティ設定の効果をWindows XP以降のバージョンのWindowsで
- RHEL 7またはCentOS 7:連邦規格および規制 および RHEL 6またはRHEL 7 FIPS 140-2準拠のを作成する方法
- RHEL 8: RHEL 8はFIPS 140-2要件に対応するように設計されています
- RHEL 9: FIPSモードでのシステムのインストール
- Amazon Linux 2:Amazon Linux 2でFIPSモードを有効にする
- SUSE Linux Enterprise Server 12: SUSE Linux Enterprise Server 12でFIPSモードを有効にする
- SUSE Linux Enterprise Server 15: SUSE Linux Enterprise Server 15でFIPSモードを有効にする
- Oracle Linux 8: FIPS検証済みのOracle Linux 8用暗号化モジュールのインストール
- Rocky Linux 9: RHEL 9ドキュメントを使用したFIPSモードでのシステムのインストール
- Miracle Linux 8: RHEL 8ドキュメントを使用したFIPSモードでのシステムのインストール
- Miracle Linux 9: RHEL 9ドキュメントを使用したFIPSモードでのシステムのインストール
- Debian Linux 10: DebianでFIPSモードを有効にする
- Debian Linux 11: DebianでFIPSモードを有効にする
保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
次の情報は、 Deep Security ManagerでFIPSモードを有効にした後にインストールするDeep Security 11.0以降の新しいAgentには適用されません。これらのバージョンでは、FIPSモードがすでにAgentに対して有効になっています。
Windows AgentのFIPSモードを有効にする
- Windowsシステムのルートフォルダ ( C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
- ファイルに次の行を追加します。
FIPSMode=1
- Deep Security Agentサービスを再起動します。
Linux AgentでFIPSモードを有効にする
サポートされているLinuxエージェント: RHEL 7、RHEL 8、RHEL 9、 CentOS 7、Amazon Linux 2、Ubuntu 18、Ubuntu 20、SUSE 12、SUSE 15、Oracle 8、Rocky 9、Miracle 8、Miracle 9、Debian Linux 10 、およびDebian Linux 11。
- /etc/でds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、まだファイルがない場合は新しいファイルを作成します。
- ファイルに次の行を追加します。
FIPSMode=1
- Deep Security Agentを再起動します。
SysV initスクリプトの使用: /etc/init.d/ds_agent restart
systemdコマンドの使用: systemctl restart ds_agent
Ubuntu 18またはUbuntu 20でFIPSモードを有効にする方法の詳細については、「 FIPS for Ubuntu」を参照してください。
PostgreSQLデータベースでFIPSモードを使用する
Deep Security ManagerデータベースとしてPostgreSQLを使用している場合は、「データベースの要件」に記載されている要件に加えて、別の要件があります。
FIPSモードでは、キーストアはBCFKSタイプである必要があります。 Javaの初期設定のキーストア ( C:\Program Files\Trend Micro\ Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts ) を直接変換する代わりに、初期設定のキーストアを別の場所にコピーして、SSLの初期設定のキーストアとして使用します。接続:
- PostgreSQL環境を作成します。
- PostgreSQLサーバからserver.crtファイルをコピーし、<Deep_Security_Manager_install_folder>に貼り付けます。
- Deep Security Managerをインストールします。
- Deep Security ManagerでFIPSモードを有効にする。
- 初期設定のJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします。
Windowsの場合:
copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"
Linuxの場合:
cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"
- キーストアファイルをJKSからBCFKSに変換します。次のコマンドは、 Deep Security Managerのインストールフォルダにcacerts.bcfksファイルを作成します。
Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
keytool_fips.cmd -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
<changeit>の部分は、適切な値に置き換えてください。
Linuxの場合:
cd /opt/dsm/jre/scripts
keytool_fips.sh -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
<changeit>の部分は、適切な値に置き換えてください。
- 証明書をインポートします "Deep_Security_Manager_root_folder/server.crt"
Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
keytool_fips.cmd -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>の部分は、適切な値に置き換えてください。
Linuxの場合:
cd /opt/dsm/jre/scripts
keytool_fips.sh -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>の部分は、適切な値に置き換えてください。
- Deep Securityインストーラは.vmoptionsファイルを使用してJVMパラメータを割り当てる必要があります
Windowsの場合、 Deep Security Manager.vmoptions という名前のファイルをインストールフォルダに作成し、次のテキストをファイルに追加します。
-Djavax.net.ssl.keyStoreProvider=BCFIPS
-Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
<changeit>の部分は、適切な値に置き換えてください。
Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。
-Djavax.net.ssl.keyStoreProvider=BCFIPS
-Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
<changeit>の部分は、適切な値に置き換えてください。
- <Deep Security Managerのディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルをテキストエディタで開いて次の文字列を追加します。
Windowsの場合:
database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\server.crt
Linuxの場合:
database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=/opt/dsm/server.crt
- テキストエディタで/opt/postgresql/data/postgresql.confファイルを開いて、次の文字列を追加します
ssl= on
ssl_cert_file= 'server.crt'
ssl_ksy_file= 'server.key'
- PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
- 接続を次のように確認します
cd /opt/postgresql/bin
./psql -h 127.0.0.1 -Udsm dsm
求められたらパスワードを入力してください。次のように表示されます:
dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';
Microsoft SQL ServerデータベースでFIPSモードを使用する
Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用している場合は、FIPSモードを有効にする前に、次の手順に従ってデータベースのSSL暗号化を設定する必要があります。
- Deep Security Managerサービスを停止します。
- SQLサーバ証明書を使用してBCFKSキーストアファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\scriptsのkeytool_fips.cmdを使用できます。
- 次のコマンドを使用してSQL Server証明書 C:\sqlserver_cert.cer を新しいKeystoreファイル C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks にインポートします。
keytool_fips.cmd -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>の部分は、適切な値に置き換えてください。
両方の keytool_fips.cmd および keytool_fips.sh ファイルは、DSM 20.0.970 以降のバージョンでのみ利用可能です。これらのファイルが DSM インストールに含まれていない場合は、トレンドマイクロ サポートに連絡してください。
インポートプロセス中に、[はい] を選択してこの証明書を信頼します。
- キーストアファイルが正常に作成された場合は、次のコマンドを使用して、キーストアにリストされている証明書を確認できます。
keytool_fips.cmd -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storetype BCFKS -storepass <changeit>
<changeit>の部分は、適切な値に置き換えてください。
- テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。
database.SqlServer.encrypt=true
database.SqlServer.trustServerCertificate=false
database.SqlServer.fips=true
database.SqlServer.trustStorePassword=<changeit>
database.SqlServer.fipsProvider=BCFIPS
database.SqlServer.trustStoreType=BCFKS
database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks
<changeit>の部分は、適切な値に置き換えてください。
- 必要に応じて、SQLサーバとクライアントの接続プロトコルを名前付きパイプからTCP/IPに変更できます。これにより、FIPSのサポートが可能になります。
- SQL Server構成マネージャで、[SQL Serverネットワーク構成]→[MSSQLSERVER のプロトコル] を選択し、[TCP/IP] を有効にします。
- [SQL Native Client 11.0 の構成]→[クライアント プロトコル] に移動し、[TCP/IP] を有効にします。
- Microsoftの指示に従って、SQL Serverデータベースのインスタンスの暗号化接続を有効にします。データベース エンジンへの暗号化接続を有効にするを参照してください。
- dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
- Deep Security Managerサービスを再起動します。
- Deep Security ManagerでFIPSモードを有効にする。
FIPSモードを無効にする
- Deep Security ManagerのFIPSモードを無効にするには、有効化の際に使用した手順 (Deep Security ManagerでFIPSモードを有効にするを参照) に従いますが、手順3で次のコマンドを使用します
dsm_c -action disablefipsmode
- Deep Security AgentのFIPSモードを無効にするには、有効化の際に使用した手順 (保護しているコンピュータでDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。