ビュー:
連邦情報処理規格 (FIPS) は暗号モジュールの標準規格です。詳細については、米国国立標準技術研究所 (NIST) のウェブサイトをご覧ください。Deep Security には、暗号モジュールを FIPS 140 規格に準拠したモードで実行するための設定が用意されています。トレンドマイクロは、Java 暗号モジュールおよびネイティブ暗号モジュール (OpenSSL)の認証を取得しました。
現在、Deep SecurityはFIPS 140-2標準に対応しています。新しいバージョンのFIPS-140がリリースされると、トレンドマイクロはそれらの標準をサポートするための認証を取得します。
Deep Securityの展開がFIPSモードで実行される場合と非FIPSモードで実行される場合には多くの違いがあります。詳細については、FIPSモードでDeep Securityを操作する際の違いを参照してください。
Deep Security ManagerのSSL証明書を置き換える場合は、FIPSモードを有効にする前に行ってください。FIPSモードを有効にした後に証明書を置き換える必要がある場合は、FIPSモードを無効にしてから、Deep Security ManagerのSSL証明書を置き換えるの指示に従い、その後FIPSモードを再度有効にしてください。
Deep SecurityをFIPS 140モードで操作するには、次の手順を実行してください。
  1. FIPSモードでDeep Securityを操作する際の違いを確認して、FIPS 140モードで操作する際に必要なDeep Security機能が利用可能であることを確認してください。
  2. Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
  3. Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
  4. Red Hat Enterprise Linux (RHEL) 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、Agentに対するLinuxセキュアブートのサポートを参照してください。
FIPSモードを無効にすることもできます。

FIPSモードでDeep Securityを操作する際の違い

以下は、Deep Security Manager 20.0.619 (20 LTS Update 2022-03-22) 以降で利用可能です:
  • ロードバランサー設定、[管理]→[システム設定]→[詳細]→[ロードバランサー]からアクセス可能です。
  • [管理]→[システム設定]→[SMTP]経由でアクセス可能なSTARTTLSオプション。
  • マルチテナント環境
FIPSモードで操作している場合、以下は利用できません:
  • VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[エージェント]→[Agentレス vCloud 保護]設定も使用できません。
  • Deep Security Scanner (SAP NetWeaverとの統合)。
  • 脅威インテリジェンス。

Deep Security ManagerでFIPSモードが有効かどうかを確認する

Deep Security ManagerでFIPSモードが有効かどうかを確認するには、[管理]→[システム情報]に移動します。[システムの詳細]の下で、[Managerノード]を展開します。[FIPS]フィールドには、FIPSモードが有効か無効かが表示されます。
Deep Security ManagerでFIPSが有効になっている場合複数のノードにデプロイ、すべてのマネージャ ノードで FIPS が有効になっている必要があります。

FIPSモードのシステム要件

Deep Security Managerの要件

FIPSモードを有効にしたDeep Security Managerの要件は、いくつかの例外を除き、システム要件で説明されている要件と同じです。
次のオペレーティングシステムのみがサポートされます。
  • Red Hat Enterprise Linux 9 (64-bit)
  • Red Hat Enterprise Linux 8 (64-bit)
  • Red Hat Enterprise Linux 7 (64-bit)
  • Windows Server 2019 (64ビット)
  • Windows Server 2016 (64ビット)
  • Windows Server 2012または2012 R2 (64ビット)
次のデータベースのみがサポートされます。
SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。
Microsoft SQL Serverの名前付きパイプはサポートされません。
AWS MarketplaceはFIPSモードをサポートしていません。

Deep Security Agentの要件

FIPSモードを有効にしたDeep Security Agentは、システム要件で説明されている要件と同じです。FIPSモードは、一部のOSのみでサポートされています。この機能をサポートしているOSについては、各プラットフォームでサポートされている機能を参照してください。

Deep Security Virtual Applianceの要件

Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。
    Applianceのシステム要件の詳細については、システム要件を参照してください。

    Deep Security ManagerのFIPSモードを有効にする

    WindowsでDeep Security ManagerのFIPSモードを有効にする

    1. Microsoft管理コンソールの [サービス] 画面を使用してTrend Micro Deep Security Managerサービスを停止します。
    2. Windowsコマンドラインで、Deep Security Managerの作業用フォルダに移動します。例: C:\Program Files\Trend Micro\Deep Security Manager
    3. FIPSモードを有効にするには、次のコマンドを入力してください:
      dsm_c -action enablefipsmode
    4. Deep Security Managerサービスを再起動します。

    LinuxでDeep Security ManagerのFIPSモードを有効にする

    1. Deep Security Managerコンピュータで、コマンドラインを開き、Deep Security Managerの作業フォルダ (/opt/dsmなど) に移動します。
    2. 次のコマンドを入力して、Deep Security Managerサービスを停止します。
      service dsm_s stop
    3. FIPSモードを有効にするには、次のコマンドを入力してください:
      dsm_c -action enablefipsmode
    4. 次のコマンドを入力して、Deep Security Managerサービスを再起動します。
      service dsm_s start

    FIPSモードで外部サービスに接続する

    Deep Security ManagerがFIPSモードで動作していて、SSL接続を使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する場合は、事前にその外部サービスのSSL証明書をManagerにインポートする必要があります。それに接続しています。証明書をインポートする手順については、信頼された証明書の管理を参照してください。
    Active Directoryからコンピュータをインポートする手順については、Microsoft Active Directoryからのコンピュータグループの追加を参照してください。
    ユーザ情報とActive Directoryを同期する手順については、ユーザの作成と管理を参照してください。
    Deep Security ManagerにVMware vCenterを追加する手順については、vCenterの追加 - FIPSモードを参照してください。

    保護しているコンピュータのOSのFIPSモードを有効にする

    サポートされているOSでFIPSモードを有効にする手順については、OSプロバイダーから提供されている以下のドキュメントを参照してください。

    保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする

    次の情報は、Deep Security ManagerでFIPSモードを有効にした後にインストールするDeep Security 11.0以降のエージェントには適用されません。これらのバージョンでは、エージェントに対して既にFIPSモードが有効になっています。

    Windows AgentのFIPSモードを有効にする

    1. Windowsシステムのルートフォルダ ( C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
    2. ファイルに次の行を追加します。
      FIPSMode=1
    3. Deep Security Agentサービスを再起動します。

    Linux AgentでFIPSモードを有効にする

    次のLinuxエージェントがサポートされています: RHEL 7、RHEL 8、RHEL 9、CentOS 7、Amazon Linux 2、Ubuntu 18、Ubuntu 20、SUSE 12、SUSE 15、Oracle 8、Rocky 9、Miracle 8、Miracle 9、Debian Linux 10、およびDebian Linux 11。
    1. /etc/ds_agent.confという名前のファイルがあるか探してください。ファイルをテキストエディタで開くか、まだファイルがない場合は新しいファイルを作成してください。
    2. ファイルに次の行を追加します。
      FIPSMode=1
    3. Deep Security Agentを再起動します。
      SysV initスクリプトの使用: /etc/init.d/ds_agent restart
      systemdコマンドの使用: systemctl restart ds_agent
    Ubuntu 18またはUbuntu 20でFIPSモードを有効にする方法の詳細については、FIPS for Ubuntuを参照してください。

    Deep Security Virtual ApplianceのFIPSモードを有効にする

    1. <DSVA_root>/etc/で、 ds_agent.confという名前のファイルを探します。テキストエディタで既存のファイルを開くか、新しいファイルを作成します。
    2. ファイルに次の行を追加します。
      FIPSMode=1
    3. コマンドラインからApplianceを再起動します。
      SysV initスクリプトの使用: /etc/init.d/ds_agent restart
      systemdコマンドの使用: systemctl restart ds_agent

    PostgreSQLデータベースでFIPSモードを使用する

    Deep Security ManagerデータベースとしてPostgreSQLを使用している場合は、データベースの要件に記載されている要件に加えて、別の要件があります。
    FIPSモードでは、キーストアはBCFKSタイプでなければなりません。Javaのデフォルトキーストア (C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts) を直接変換する代わりに、デフォルトキーストアを別の場所にコピーし、SSL接続のデフォルトキーストアとして使用してください。
    1. PostgreSQL環境を作成します。
    2. PostgreSQLサーバからserver.crtファイルをコピーし、<Deep_Security_Manager_install_folder>に貼り付けてください。
    3. Deep Security Managerをインストールします。
    4. デフォルトのJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします:
      Windowsの場合:
      copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"
      Linuxの場合:
      cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"
    5. キーストアファイルをJKSからBCFKSに変換します。次のコマンドは、Deep Security Managerインストールフォルダにcacerts.bcfksファイルを作成します。
      Windowsの場合:
      cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
      keytool_fips.cmd -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
      ここで<changeit>はあなた自身の値に置き換えます。
      Linuxの場合:
      cd /opt/dsm/jre/scripts
      keytool_fips.sh -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit>
      ここで<changeit>はあなた自身の値に置き換えます。
    6. 証明書 "Deep_Security_Manager_root_folder/server.crt" をインポートします:
      Windowsの場合:
      cd C:\Program Files\Trend Micro\Deep Security Manager\jre\scripts
      keytool_fips.cmd -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -storetype BCFKS
      <changeit>を自分の値に置き換えます。
      Linuxの場合:
      cd /opt/dsm/jre/scripts
      keytool_fips.sh -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -storetype BCFKS
      <changeit>を自分の値に置き換えます。
    7. Deep Securityインストーラーは、JVMパラメーターを割り当てるために.vmoptionsファイルを使用する必要があります。
      Windowsの場合、Deep Security Manager.vmoptionsという名前のファイルをインストールフォルダに作成し、次のテキストをファイルに追加します。
      -Djavax.net.ssl.keyStoreProvider=BCFIPS
      -Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks
      -Djavax.net.ssl.trustStorePassword=<changeit>
      -Djavax.net.ssl.keyStoreType=BCFKS
      -Djavax.net.ssl.trustStoreType=BCFKS
      <changeit>を自分の値に置き換えます。
      Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。
      -Djavax.net.ssl.keyStoreProvider=BCFIPS
      -Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks
      -Djavax.net.ssl.trustStorePassword=<changeit>
      -Djavax.net.ssl.keyStoreType=BCFKS
      -Djavax.net.ssl.trustStoreType=BCFKS
      <changeit>を自分の値に置き換えます。
    8. <Deep Security Manager ディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.properties ファイルをテキストエディタで開き、以下を追加してください:
      Windowsの場合:
      database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\server.crt
      Linuxの場合:
      database.PostgreSQL.connectionParameters=sslmode=verify-ca&sslcert=/opt/dsm/server.crt
    9. テキストエディタで /opt/postgresql/data/postgresql.conf ファイルを開き、次の内容を追加してください:
      ssl= on
      ssl_cert_file= 'server.crt'
      ssl_ksy_file= 'server.key'
    10. PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
    11. 次のように接続を確認してください:
      cd /opt/postgresql/bin
      ./psql -h 127.0.0.1 -Udsm dsm
      プロンプトが表示されたらパスワードを入力してください。次のように表示されます:
      dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';

    Microsoft SQL ServerデータベースでFIPSモードを使用する

    Microsoft SQL ServerをDeep Security Managerデータベースとして使用している場合、FIPSモードを有効にする前に、次の手順に従ってデータベースのSSL暗号化を設定する必要があります。
    1. Deep Security Managerサービスを停止します。
    2. SQLサーバ証明書を使用してBCFKSキーストアファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\scriptsにあるkeytool_fips.cmdを使用できます。
    3. 次のコマンドを使用して、SQLサーバ証明書C:\sqlserver_cert.cerを新しいキーストアファイルC:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfksにインポートします:
      keytool_fips.cmd -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -storetype BCFKS
      <changeit>を自分の値に置き換えます。
      keytool_fips.cmdファイルとkeytool_fips.shファイルは、DSM 20.0.970以降のバージョンでのみ利用可能です。これらのファイルがDSMインストールに含まれていない場合は、トレンドマイクロ サポートに連絡してください。
      インポートプロセス中に、[はい] を選択してこの証明書を信頼します。
    4. キーストアファイルが正常に作成された場合、次のコマンドを使用してキーストアにリストされている証明書を確認できます:
      keytool_fips.cmd -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storetype BCFKS -storepass <changeit>
      <changeit>を自分の値に置き換えます。
    5. テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。
      database.SqlServer.encrypt=true
      database.SqlServer.trustServerCertificate=false
      database.SqlServer.fips=true
      database.SqlServer.trustStorePassword=<changeit>
      database.SqlServer.fipsProvider=BCFIPS
      database.SqlServer.trustStoreType=BCFKS
      database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks
      <changeit>を自分の値に置き換えます。
    6. オプションとして、SQLサーバおよびクライアント接続プロトコルをNamed PipesからTCP/IPに変更できます。これにより、FIPSサポートが可能になります。
      1. SQL Server構成マネージャで、[SQLネットワーク構成]→[MSSQLSERVERのプロトコル]に移動し、[TCP/IP]を有効にします。
      2. [SQL Native Client 11.0 構成]→[クライアントプロトコル]に移動して[TCP/IP]を有効にします。
      3. Microsoftが提供する手順に従って、SQLサーバデータベースインスタンスの暗号化接続を有効にしてください。データベースエンジンへの暗号化接続を有効にするを参照してください。
      4. dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
    7. Deep Security Managerサービスを再起動します。

    FIPSモードを無効にする

    1. Deep Security ManagerのFIPSモードを無効にするには、有効にするために使用した手順に従ってください (Deep Security ManagerのFIPSモードを有効にするを参照) が、ステップ3の代わりに次のコマンドを使用してください:
      dsm_c -action disablefipsmode
    2. Deep Security AgentのFIPSモードを無効にするには、有効にするために使用した手順 (保護しているコンピュータ上のDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。