WinZip – FIPS 140-2 暗号化とは。なぜ重要なのか。

WinZip – FIPS 140-2 暗号化とは。なぜ重要なのか。

暗号化は機密性の高いビジネスデータを保護するために不可欠な要素ですが、連邦情報処理規格(FIPS)に準拠した暗号化は、セキュリティをまったく新しいレベルに引き上げます。

FIPSは、セキュリティ機能を実行するハードウェア、ソフトウェア、ファームウェアプログラムである暗号化モジュールのセキュリティ要件を特定しています。

情報を暗号化する場合、平文を暗号文に変換する唯一の標準的な方法はありません。方法とアルゴリズムは様々で、すべての暗号化プロセスが同じように効果的とは限りません

多くの民間企業は、自社に最適な暗号化方式を使用できますが、米国連邦政府のような特定の組織は、連携する非軍事機関がFIPS 140-2に適合することを要求しています。

FIPS 140-2とは

米国国立標準技術研究所(NIST)が開発したFIPS 140-2は、暗号化モジュールのセキュリティ要件を特定し、政府の機密情報の保護を保証するものです。

FIPS 140-2には4つのセキュリティレベルがあり、上位のレベルは下位のレベルよりも強固な保護機能を備えています。

  • レベル1では、テスト済みの暗号化アルゴリズムの使用や、出荷品質の機器の使用など、最もシンプルな要件が設定されています。
  • レベル2は物理的なセキュリティ保護で、役割に応じた認証と、シールやピッキング防止ロックなどの不正開封防止技術を要求している。暗号化モジュールは、評価済みのオペレーティングシステム環境で実行する必要があります。
  • レベル3は、セキュリティと使いやすさのバランスが取れているため、組織のコンプライアンスとして最も一般的なレベルです。レベル1と2の要件に加え、不正操作からコンポーネントを保護するために、耐タンパーデバイス、強力なモジュール筐体、ポートやインターフェースの分離などの物理的なセキュリティが追加されています。
  • レベル4は最高レベルのセキュリティを提供し、信頼できるオペレーティングシステム環境と強化された物理的セキュリティ機構を必要とします。

FIPS 140-2暗号は何に使われるのか

FIPS 140-2のセキュリティ要件は、機密だが未分類の(SBU)情報に適用されます。連邦法では、SBU情報を、国家安全保障上の理由で分類されていないが、その他の理由で不正または一般公開から保護する必要がある情報と定義しています。

機密でありながら未分類である情報のとしては、以下のようなものがあります。

  • 従業員に関する個人情報(例:給与情報、医療記録)。
  • 機密のビジネス情報(例:企業秘密、請負業者の提案書)。
  • 保護された健康情報(PHI)。
  • 個人を特定できる情報(PII)。
  • 法執行機関の情報
  • 弁護士と弁護人との間の特権的な通信。
  • 私用禁止 (FOUO)として識別される資料。

FIPS 140-2への準拠が必要な組織とは

連邦情報セキュリティ近代化法(FISMA)は、米国連邦政府機関に対して、主要なセキュリティ標準やガイドラインに基づく情報セキュリティおよび保護プログラムを策定し、実施することを義務付けています。

FISMAの要件は、FIPS 140-2の検証を含め、米国政府と契約関係にある民間組織や個人にも適用されます。

連邦政府機関に加え、多くの州や地方の政府機関も、機密データを保護するために FIPS 140-2 を使用しています。例えば、連邦政府プログラム(メディケア、メディケイド、失業保険など)を管理する州機関は、FISMAの義務に従わなければなりません。

一般に、個人の顧客データを扱う企業でも、FIPS 140-2に準拠することでメリットが得られます。

民間企業でも、FIPS 140-2を利用してデータ保護プログラムを強化することができます。これは、データ・セキュリティを管理する連邦政府の規制の対象となる業界にとって特に重要です。このような非政府組織には、医療、金融、商社、サービス提供者、製造業などが含まれますが、これらに限定されるものではありません。

ヘルスケア

ヘルスケア産業は、PHI(Protected Health Information:保護されるべき医療情報)を保護することを使命としています。現代のテクノロジーは、医療従事者と患者が交流するための方法やプラットフォームを変化させていますが、HIPAAを遵守するためには、一定の仕様を満たす必要があります。

機密性の高い医療データを保護するため、米国保健社会福祉省(HHS)は、FIPS 140-2の検証を受けた暗号化プロセスの使用を推奨しています。

銀行・金融

銀行や金融機関では、個人を特定できる情報や非公開の個人情報(NPI)を大量に収集・生成しています。Gramm-Leach-Bliley Act (GLBA) は、金融やサービスを提供する企業に対して、顧客の機密データを保護することを義務付けています。

GLBAの違反に対する制度上の罰則は、1回の違反につき10万ドルにも及ぶため、FIPS 140-2暗号化により、顧客の記録と情報が潜在的な脅威から保護されます。

商社とサービス提供者

支払いカードのデータを扱う事業者は、PCI DSS(Payment Card Industry Data Security Standard)に準拠する必要があります。PCI DSSでは、ペイメントカードのデータを処理、保存、送信する企業は、データの保存時および送信時の両方でデータを暗号化する必要があると規定しています。これを怠ると、罰金や罰則の対象となることがあります。

製造と製品テスト

電子データを処理・受信する機器では、情報の安全性を保つために暗号化が使用されています。電子機器の製造・試験を行う業者は、セキュリティの脆弱性に対処し、それを防止するために、業界標準への準拠を維持する必要があります。

このプロセスを合理化するため、NISTは、国際標準に準拠するすべての製品にFIPS準拠の暗号化を使用することを義務付けています。

なぜFIPS 140-2が重要なのか

データの暗号化は、組織のデータ・セキュリティ戦略において重要な要素です。FIPS 140-2の暗号化は、適用される法律や規制を遵守するだけでなく、万が一にも消費者データが漏洩することのないよう保証するものです。

FIPS 140-2準拠により、高度なシステムセキュリティが保証されます。これは、機密性がありながら分類されていない情報の保護において重要です。FIPS 140-2認証を取得することは、その技術が認定ラボでの厳格なテストに合格していることを証明し、その製品が機密情報の保護に使用できることを確実にします。

FISMAは、ベンダーが政府機関にソリューションを販売するために、FIPS 140-2の要件を満たすことを義務付けています。FISMAのセキュリティ基準に準拠しない場合、政府機関や組織はシステムの脆弱性により、機密情報でありながら未分類であるデータを危険にさらすリスクが高まります。

政府機関、またはその関連民間企業や請負業者は、FISMAに準拠しない場合、評判の低下、議会での非難、資金提供の削減など、さまざまな罰則に直面する可能性があります。

FIPS 140-2に準拠したセキュリティを提供する WinZip Enterprise

WinZip® Enterpriseは、AES(Advanced Encryption Standard)形式により、ファイルを安全に共有・保存します。この対称鍵は、FIPS 140-2に準拠したアルゴリズムです。コンプライアンスプロセスの一環として、WinZip EnterpriseはFIPS対応コンピュータを使用し、転送中および保存中のファイルの保護を保証しています。

FIPS 140-2暗号化という強力なレイヤーのおかげで、WinZip Enterprise はデータを保護し、企業がデータ保護と暗号化に関する連邦政府の要件を満たすことを保証します。

Dropbox、SharePoint、Google Driveなどの主要なサービスと完全な互換性を持つWinZip Enterpriseは、エンドユーザがストレージプロバイダ間でファイルを安全に共有することを容易にし、軍事レベルの暗号化によって支えられています。

WinZip Enterprise について詳しくはこちらをご覧ください。

この記事は、 What Is FIPS 140-2 Encryption, and Why Is It Important? | October 22, 2021 を翻訳したものです。

Share this post