連邦情報処理規格 (FIPS) は暗号モジュールの標準規格です。詳細については、米国国立標準技術研究所 (NIST) のウェブサイトをご覧ください。Deep Security には、暗号モジュールを FIPS 140 規格に準拠したモードで実行するための設定が用意されています。トレンドマイクロは、Java 暗号モジュールおよびネイティブ暗号モジュール (OpenSSL)の認証を取得しました。
現在、Deep SecurityはFIPS 140-2標準に対応しています。新しいバージョンのFIPS-140がリリースされると、トレンドマイクロはそれらの標準をサポートするための認証を取得します。
Deep Securityの展開がFIPSモードで実行される場合と非FIPSモードで実行される場合には多くの違いがあります。詳細については、FIPSモードでDeep Securityを操作する際の違いを参照してください。
Deep Security ManagerのSSL証明書を置き換える場合は、FIPSモードを有効にする前に行ってください。FIPSモードを有効にした後に証明書を置き換える必要がある場合は、FIPSモードを無効にしてから、Deep Security ManagerのSSL証明書を置き換えるの指示に従い、その後FIPSモードを再度有効にしてください。
Deep SecurityをFIPS 140モードで操作するには、次の手順を実行してください。
-
FIPSモードでDeep Securityを操作する際の違いを確認して、FIPS 140モードで操作する際に必要なDeep Security機能が利用可能であることを確認してください。
-
Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
-
Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
-
Red Hat Enterprise Linux (RHEL) 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、Agentに対するLinuxセキュアブートのサポートを参照してください。
FIPSモードを無効にすることもできます。
FIPSモードでDeep Securityを操作する際の違い
以下は、Deep Security Manager 20.0.619 (20 LTS Update 2022-03-22) 以降で利用可能です:
-
ロードバランサー設定、[管理]→[システム設定]→[詳細]→[ロードバランサー]からアクセス可能です。
-
[管理]→[システム設定]→[SMTP]経由でアクセス可能なSTARTTLSオプション。
-
マルチテナント環境
FIPSモードで操作している場合、以下は利用できません:
-
VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[エージェント]→[Agentレス vCloud 保護]設定も使用できません。
-
Deep Security Scanner (SAP NetWeaverとの統合)。
-
脅威インテリジェンス。
Deep Security ManagerでFIPSモードが有効かどうかを確認する
Deep Security ManagerでFIPSモードが有効かどうかを確認するには、[管理]→[システム情報]に移動します。[システムの詳細]の下で、[Managerノード]を展開します。[FIPS]フィールドには、FIPSモードが有効か無効かが表示されます。
Deep Security ManagerでFIPSが有効になっている場合複数のノードにデプロイ、すべてのマネージャ ノードで FIPS が有効になっている必要があります。
FIPSモードのシステム要件
Deep Security Managerの要件
FIPSモードを有効にしたDeep Security Managerの要件は、いくつかの例外を除き、システム要件で説明されている要件と同じです。
次のオペレーティングシステムのみがサポートされます。
-
Red Hat Enterprise Linux 9 (64-bit)
-
Red Hat Enterprise Linux 8 (64-bit)
-
Red Hat Enterprise Linux 7 (64-bit)
-
Windows Server 2019 (64ビット)
-
Windows Server 2016 (64ビット)
-
Windows Server 2012または2012 R2 (64ビット)
次のデータベースのみがサポートされます。
-
PostgreSQL 13 (PostgreSQLデータベースでFIPSモードを使用するを参照)
-
PostgreSQL 12 (PostgreSQLデータベースでFIPSモードを使用するを参照)
-
PostgreSQL 11 (PostgreSQLデータベースでFIPSモードを使用するを参照)
-
PostgreSQL 9.6 (PostgreSQLデータベースでFIPSモードを使用するを参照)
-
Microsoft SQL Server 2019 Enterprise Edition ( Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
-
Microsoft SQL Server 2016 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
-
Microsoft SQL Server 2014 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
-
Microsoft SQL Server 2012 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。
Microsoft SQL Serverの名前付きパイプはサポートされません。
AWS MarketplaceはFIPSモードをサポートしていません。
Deep Security Agentの要件
FIPSモードを有効にしたDeep Security Agentは、システム要件で説明されている要件と同じです。FIPSモードは、一部のOSのみでサポートされています。この機能をサポートしているOSについては、各プラットフォームでサポートされている機能を参照してください。
Deep Security Virtual Applianceの要件
Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。
Applianceのシステム要件の詳細については、システム要件を参照してください。
Deep Security ManagerのFIPSモードを有効にする
WindowsでDeep Security ManagerのFIPSモードを有効にする
-
Microsoft管理コンソールの [サービス] 画面を使用してTrend Micro Deep Security Managerサービスを停止します。
-
Windowsコマンドラインで、Deep Security Managerの作業用フォルダに移動します。例:
C:\Program Files\Trend Micro\Deep Security Manager
。 -
FIPSモードを有効にするには、次のコマンドを入力してください:
dsm_c -action enablefipsmode
-
Deep Security Managerサービスを再起動します。
LinuxでDeep Security ManagerのFIPSモードを有効にする
-
Deep Security Managerコンピュータで、コマンドラインを開き、Deep Security Managerの作業フォルダ (
/opt/dsm
など) に移動します。 -
次のコマンドを入力して、Deep Security Managerサービスを停止します。
service dsm_s stop
-
FIPSモードを有効にするには、次のコマンドを入力してください:
dsm_c -action enablefipsmode
-
次のコマンドを入力して、Deep Security Managerサービスを再起動します。
service dsm_s start
FIPSモードで外部サービスに接続する
Deep Security ManagerがFIPSモードで動作していて、SSL接続を使用して外部サービス (Active Directory、vCenter、またはNSX
Managerなど) に接続する場合は、事前にその外部サービスのSSL証明書をManagerにインポートする必要があります。それに接続しています。証明書をインポートする手順については、信頼された証明書の管理を参照してください。
Active Directoryからコンピュータをインポートする手順については、Microsoft Active Directoryからのコンピュータグループの追加を参照してください。
ユーザ情報とActive Directoryを同期する手順については、ユーザの作成と管理を参照してください。
Deep Security ManagerにVMware vCenterを追加する手順については、vCenterの追加 - FIPSモードを参照してください。
保護しているコンピュータのOSのFIPSモードを有効にする
サポートされているOSでFIPSモードを有効にする手順については、OSプロバイダーから提供されている以下のドキュメントを参照してください。
-
RHEL 7 または CentOS 7::連邦規格および規制とRHEL 6またはRHEL 7をFIPS 140-2準拠にする方法
-
RHEL 8::RHEL 8はFIPS 140-2の要件に対応しています
-
RHEL 9::システムをFIPSモードでインストールする
-
Amazon Linux 2::Amazon Linux 2でのFIPSモードの有効化
-
SUSE Linux Enterprise Server 12::SUSE Linux Enterprise Server 12でFIPSモードを有効にする
-
SUSE Linux Enterprise Server 15::SUSE Linux Enterprise Server 15でFIPSモードを有効にする
-
Oracle Linux 8::Oracle Linux 8用FIPS検証済み暗号モジュールのインストール
-
Rocky Linux 9::RHEL 9 ドキュメントを使用してFIPSモードでシステムをインストールする
-
Miracle Linux 8::RHEL 8 ドキュメントを使用してシステムを FIPS モードでインストールする
-
Miracle Linux 9::RHEL 9 ドキュメントを使用して FIPS モードでシステムをインストールする
-
Debian Linux 10::DebianでのFIPSモードの有効化
-
Debian Linux 11::DebianでFIPSモードを有効にする
保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
次の情報は、Deep Security ManagerでFIPSモードを有効にした後にインストールするDeep Security 11.0以降のエージェントには適用されません。これらのバージョンでは、エージェントに対して既にFIPSモードが有効になっています。
Windows AgentのFIPSモードを有効にする
-
Windowsシステムのルートフォルダ (
C:\Windows
など) で、ds_agent.ini
という名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。 -
ファイルに次の行を追加します。FIPSMode=1
-
Deep Security Agentサービスを再起動します。
Linux AgentでFIPSモードを有効にする
次のLinuxエージェントがサポートされています: RHEL 7、RHEL 8、RHEL 9、CentOS 7、Amazon Linux 2、Ubuntu 18、Ubuntu
20、SUSE 12、SUSE 15、Oracle 8、Rocky 9、Miracle 8、Miracle 9、Debian Linux 10、およびDebian
Linux 11。
-
/etc/
にds_agent.conf
という名前のファイルがあるか探してください。ファイルをテキストエディタで開くか、まだファイルがない場合は新しいファイルを作成してください。 -
ファイルに次の行を追加します。FIPSMode=1
-
Deep Security Agentを再起動します。SysV initスクリプトの使用:
/etc/init.d/ds_agent restart
systemdコマンドの使用:systemctl restart ds_agent
Ubuntu 18またはUbuntu 20でFIPSモードを有効にする方法の詳細については、FIPS for Ubuntuを参照してください。
Deep Security Virtual ApplianceのFIPSモードを有効にする
-
<DSVA_root>/etc/
で、ds_agent.conf
という名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。 -
ファイルに次の行を追加します。
FIPSMode=1
-
コマンドラインからApplianceを再起動します。SysV initスクリプトの使用:
/etc/init.d/ds_agent restart
systemdコマンドの使用:systemctl restart ds_agent
PostgreSQLデータベースでFIPSモードを使用する
Deep Security ManagerデータベースとしてPostgreSQLを使用している場合は、データベースの要件に記載されている要件に加えて、別の要件があります。
FIPSモードでは、キーストアはBCFKSタイプでなければなりません。Javaのデフォルトキーストア (C:\Program Files\Trend Micro\Deep
Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts) を直接変換する代わりに、デフォルトキーストアを別の場所にコピーし、SSL接続のデフォルトキーストアとして使用してください。
-
PostgreSQL環境を作成します。
-
PostgreSQLサーバからserver.crtファイルをコピーし、<Deep_Security_Manager_install_folder>に貼り付けてください。
-
Deep Security Managerをインストールします。
-
デフォルトのJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします:Windowsの場合:
copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"
Linuxの場合:cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"
-
キーストアファイルをJKSからBCFKSに変換します。次のコマンドは、Deep Security Managerインストールフォルダにcacerts.bcfksファイルを作成します。Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
keytool_fips.cmd -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
ここで<changeit>
はあなた自身の値に置き換えます。Linuxの場合:cd /opt/dsm/jre/scripts
keytool_fips.sh -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
ここで<changeit>
はあなた自身の値に置き換えます。 -
証明書 "Deep_Security_Manager_root_folder/server.crt" をインポートします:Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
keytool_fips.cmd -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>
を自分の値に置き換えます。Linuxの場合:cd /opt/dsm/jre/scripts
keytool_fips.sh -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>
を自分の値に置き換えます。 -
Deep Securityインストーラーは、JVMパラメーターを割り当てるために.vmoptionsファイルを使用する必要があります。Windowsの場合、Deep Security Manager.vmoptionsという名前のファイルをインストールフォルダに作成し、次のテキストをファイルに追加します。
-Djavax.net.ssl.keyStoreProvider=BCFIPS
-Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
<changeit>
を自分の値に置き換えます。Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。-Djavax.net.ssl.keyStoreProvider=BCFIPS
-Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
<changeit>
を自分の値に置き換えます。 -
<Deep Security Manager ディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.properties ファイルをテキストエディタで開き、以下を追加してください:Windowsの場合:
database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\server.crt
Linuxの場合:database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=/opt/dsm/server.crt
-
テキストエディタで /opt/postgresql/data/postgresql.conf ファイルを開き、次の内容を追加してください:
ssl= on
ssl_cert_file= 'server.crt'
ssl_ksy_file= 'server.key'
-
PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
-
次のように接続を確認してください:
cd /opt/postgresql/bin
./psql -h 127.0.0.1 -Udsm dsm
プロンプトが表示されたらパスワードを入力してください。次のように表示されます:dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';
Microsoft SQL ServerデータベースでFIPSモードを使用する
Microsoft SQL ServerをDeep Security Managerデータベースとして使用している場合、FIPSモードを有効にする前に、次の手順に従ってデータベースのSSL暗号化を設定する必要があります。
-
Deep Security Managerサービスを停止します。
-
SQLサーバ証明書を使用してBCFKSキーストアファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\scriptsにあるkeytool_fips.cmdを使用できます。
-
次のコマンドを使用して、SQLサーバ証明書C:\sqlserver_cert.cerを新しいキーストアファイルC:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfksにインポートします:
keytool_fips.cmd -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -storetype BCFKS
<changeit>
を自分の値に置き換えます。keytool_fips.cmdファイルとkeytool_fips.shファイルは、DSM 20.0.970以降のバージョンでのみ利用可能です。これらのファイルがDSMインストールに含まれていない場合は、トレンドマイクロ サポートに連絡してください。インポートプロセス中に、[はい] を選択してこの証明書を信頼します。 -
キーストアファイルが正常に作成された場合、次のコマンドを使用してキーストアにリストされている証明書を確認できます:
keytool_fips.cmd -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storetype BCFKS -storepass <changeit>
<changeit>
を自分の値に置き換えます。 -
テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。
database.SqlServer.encrypt=true
database.SqlServer.trustServerCertificate=false
database.SqlServer.fips=true
database.SqlServer.trustStorePassword=<changeit>
database.SqlServer.fipsProvider=BCFIPS
database.SqlServer.trustStoreType=BCFKS
database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks
<changeit>
を自分の値に置き換えます。 -
オプションとして、SQLサーバおよびクライアント接続プロトコルをNamed PipesからTCP/IPに変更できます。これにより、FIPSサポートが可能になります。
-
SQL Server構成マネージャで、[SQLネットワーク構成]→[MSSQLSERVERのプロトコル]に移動し、[TCP/IP]を有効にします。
-
[SQL Native Client 11.0 構成]→[クライアントプロトコル]に移動して[TCP/IP]を有効にします。
-
Microsoftが提供する手順に従って、SQLサーバデータベースインスタンスの暗号化接続を有効にしてください。データベースエンジンへの暗号化接続を有効にするを参照してください。
-
dsm.propertiesファイルを編集し、
database.sqldserver. driver=MSJDBC
およびdatabase.SqlServer.namedPipe=false
を変更します。
-
-
Deep Security Managerサービスを再起動します。
FIPSモードを無効にする
-
Deep Security ManagerのFIPSモードを無効にするには、有効にするために使用した手順に従ってください (Deep Security ManagerのFIPSモードを有効にするを参照) が、ステップ3の代わりに次のコマンドを使用してください:
dsm_c -action disablefipsmode
-
Deep Security AgentのFIPSモードを無効にするには、有効にするために使用した手順 (保護しているコンピュータ上のDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、
FIPSMode=1
の代わりにFIPSMode=0
を使用します。