BigFix サーバーでの FIPS 140-2 の構成

FIPS 140-2 を使用するように BigFix サーバーを構成することができます。

このようにすることで、BigFix 暗号モジュールの状態がエラーである場合、BigFix は始動しないか、実行を停止します。

モジュールの適切なセットアップと初期化を検証するには、以下の手順を実行してクライアント・ログ・ファイルを確認する必要があります。
  1. BigFix サーバーで、「スタート」>「すべてのプログラム」>「BigFix」>「BigFix 管理ツール」を選択して BigFix 管理ツールを起動します。
  2. サイト・ライセンスのロケーションを参照し、「OK」をクリックします。
  3. 「マストヘッドの管理」タブを選択します。
  4. 「マストヘッドの編集」をクリックします。
  5. 「FIPS 140-2 に準拠した暗号を使用する必要がある」にチェック・マークを付けて、FIPS 140-2 を有効にします。
  6. 「OK」をクリックします。
  7. アクションを実行するための管理者パスワードを入力します。
  8. 設定が有効になったことを確認するには、クライアント・ログ・ファイル (ログのデフォルト・パスは ) でC:\Program Files\BigFix Enterprise\BES Client\__BESData\__Global\Logs\YYYYMMDD.log 以下のタイプのメッセージを確認します。
    • FIPS 140-2 有効のログ・ファイル・メッセージ 
      At 14:36:12 -0700 -
FIPS mode enabled by masthead.
At 14:36:13 -0700 -
Cryptographic module initialized successfully in FIPS mode.
    • FIPS 140-2 無効のログ・ファイル・メッセージ 
      At 14:58:28 -0700 -
FIPS mode disabled by default.
Unrestricted mode
クライアントで _BESClient_Cryptography_FipsMode 値を設定することで FIPS モードを強制できます。
注: クライアント設定 _BESClient_Cryptography_FipsMode は BES クライアントと Web レポート・コンポーネントのマストヘッドで指定した FIPS 設定を上書きします。値を「なし」に設定すると、BES クライアントと Web レポート・コンポーネントは FIPS ライブラリーを使用しません。値を required に設定すると、FIPS ライブラリーを使用します。

そうすることで、始動時に暗号モジュールでエラーが発生した場合に、クライアントは FIPS モードでは実行されなくなります。

FIPS で検証された暗号ライブラリーのみを使用するように BigFix コンポーネントを強制させるには、以下の手順を実行します。
  1. BigFix コンソールを起動します。
  2. 「コンピューター」タブで、リストされている任意のコンピューターを右クリックして、「コンピューター設定の編集」を選択します。
  3. 「追加」をクリックします。
  4. 「カスタム設定を追加」ダイアログで、次を入力します。「設定名」_BESClient_Cryptography_FipsMode「設定値」required
  5. 「OK」をクリックします。
  6. 「対象」タブで All computers を選択します。FIPS モードが有効な場合、デジタル署名、暗号化、SHA1/SHA2 ハッシュなどのすべての暗号操作は、FIPS 140-2 レベル 2 の認定を受けた暗号モジュールを使用して実行されます。
  7. ダイアログの「実行」タブで「再び関連状態になるときは常にこのアクションを再適用する」を選択し、「OK」をクリックします。
注: BigFix Linux サーバーで FIPS 140-2 を有効にするには、『Linux システムでのマストヘッドの編集』で説明されている -advRequireFIPScompliantCrypto オプションを参照してください。
注:
  • FIPS モジュールを有効にする場合、OpenSSL ライブラリーは、独自の自己診断テストを満たすために静的アドレスでロードされる必要があります。
  • FIPS モードの始動に関連するエラーで最もよく発生するのは、AIX システムおよび HP-UX システムで暗号モジュールに使用できるシステム・エントロピーが不足している場合のエラーです。
  • FIPS モードの設定とメッセージ・レベルの暗号化 (MLE) の設定は互いに独立しています。FIPS は MLE を設定しなくても設定できます。また、その逆も同様です。

メッセージ・レベルの暗号化については、メッセージ・レベルの暗号化 (MLE) の概要およびメッセージ・レベルの暗号化と DSAを参照してください。