Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
FIPS、CC、UCAPL の設定
FIPS、CC、UCAPL の設定

FIPS、CC、UCAPL の設定

FIPS について

連邦情報処理標準(FIPS)140-2 は、暗号モジュールの検証に使用されるセキュリティ標準です。 暗号モジュールは米国政府とその他の規制産業(金融機関や医療機関など)で使用するため に民間企業が製造したもので、機密ではないが取扱注意(SBU)の情報を収集、保存、転送、共有、および配布します。

FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。 FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。 FIPS の詳細については、http:/​/​csrc.nist.gov/​を参照してください。

ロールとサービスについて

  • AP ロール:コントローラ(MFP、802.11i、iGTK)に関連付けられたアクセス ポイントのロール。

  • クライアント ロール:コントローラに関連付けられたワイヤレス クライアントのロール。

  • ユーザ ロール:読み取り専用権限を持っている管理ユーザ。

  • Crypto Officer(CO)ロール:読み取り権限と書き込み権限を持っている管理ユーザで、暗号の初期化や管理操作を実行できます。


(注)  


FIPS 140-2 では 4 レベルのセキュリティ強化が定義されています。

Cisco Wireless LAN Controller 5700 シリーズに対して認定されたセキュリティ レベルは FIPS レベル 1 です

Cisco Catalyst 3850 シリーズ スイッチに対して認定されたセキュリティ レベルは FIPS レベル 2 です。

Cisco Catalyst 3650 シリーズ スイッチに対して認定されたセキュリティ レベルは FIPS レベル 2 です。


FIPS のセルフテスト

暗号モジュールは、適正に動作していることを確認するために、電源投入時のセルフテストと条件付きセルフテストを実行しなければなりません。

電源投入時セルフテストは、デバイスの電源が投入された後に自動的に実行されます。 デバイスが FIPS モードになるのは、すべてのセルフテストが正常に完了した後だけです。 いずれかのセルフテストが失敗すると、デバイスはシステム メッセージをログに記録し、エラー状態に移行します。

既知解テスト(KAT)を利用すると、暗号アルゴリズムは正しい出力があらかじめわかってるデータに対して実行され、その計算出力は前回生成された出力と比較されます。 計算出力が既知解と等しくない場合は、既知解テストに失敗したことになります。

電源投入時セルフテストには以下が含まれます。
  • ソフトウェアの整合性

  • アルゴリズム テスト

何かに対応してセキュリティ機能または操作が始動された場合は、条件付きセルフテストが実行されなければなりません。 電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

デバイスは、既知解テスト(KAT)という暗号化アルゴリズムを使用して、デバイス上に実装されている FIPS 140-2 で承認された暗号機能(暗号化、復号化、認証、および乱数生成)ごとに FIPS モードをテストします。 デバイスは、このアルゴリズムを、すでに正しい出力がわかっているデータに対して適用します。 次に、計算された出力を、以前に生成された出力と比較します。 計算された出力が既知解に等しくない場合は、KAT が失敗します。

適用可能なセキュリティ機能または操作が呼び出された場合は、条件付きセルフテストが自動的に実行されます。 電源投入時セルフテストとは異なって、条件付きセルフテストはそれぞれに関連する機能がアクセスされるたびに実行されます。

条件付きセルフテストでは次を含むテストが行われます。
  • ペア整合性テスト:このテストは公開キー/秘密キー ペアが生成されたときに実行されます。

  • 乱数連続生成テスト:このテストは乱数が生成されたときに実行されます。

  • Bypass

  • ソフトウェアのロード

CC について

Common Criteria(CC)は、製品が開発者に必要なセキュリティ機能を提供しているかどうかを確認するテスト標準です。 CC 評価は、作成された保護プロファイル(PP)またはセキュリティ ターゲット(ST)に照らして実施されます。

FIPS 140-2 の 4 つのセキュリティ レベルは、特定の CC EAL または CC 機能要件に直接対応しません。 CC の詳細については、Common Criterial PortalCC の評価および検証スキームを参照してください。

コントローラを CC 動作モードに設定するには、Common Criterial Portal Web サイトの [Certified Product] ページで公開されている Admin Guidance Document を参照してください。

コントローラに CC を提供すると、コントローラのシリーズ名が Common Criterial Portal に掲載されます。 [Security Documents] タブをクリックすると、使用可能なコントローラに関するドキュメントのリストが表示されます。

UCAPL について

米国国防総省(DoD)統合機能認定製品リスト(APL)の認定プロセスは、国防情報システム局(DISA)Unified Capabilities Certification Office(UCCO)の管轄です。 認定は、相互運用性テスト コマンド(JITC)を含む承認された分散テスト センターで行われます。

DoD のお客様は、認定済みの統合機能関連設備(ハードウェアとソフトウェアの両方)しか購入できません。 認定済みの設備は DoD UC APL に掲載されます。 UC APL 認定は、システムが DISA Field Security Office(FSO)Security Technical Implementation Guides(STIG)に準拠し、それに基づいて設定されていることを確認します。

UC APL プロセスの詳細については、国防情報システム局のページを参照してください。

FIPS の設定(CLI)


    ステップ 1   次のコマンドを入力して、コントローラで FIPS を設定します。 config switchconfig fips-prerequisite {enable | disable }
    ステップ 2   次のコマンドを入力して、FIPS の設定を表示します。 show switchconfig
    以下に類似した情報が表示されます。
    802.3x Flow Control Mode......................... Disable
    FIPS prerequisite features....................... Enabled
    WLANCC prerequisite features..................... Enabled
    UCAPL prerequisite features...................... Disabled
    secret obfuscation............................... Enabled
    

    CC の設定(CLI)

    はじめる前に

    FIPS をコントローラで有効にする必要があります。


      ステップ 1   次のコマンドを入力して、コントローラで FIPS を設定します。 config switchconfig wlancc {enable | disable }
      ステップ 2   次のコマンドを入力して、FIPS の設定を表示します。 show switchconfig
      以下に類似した情報が表示されます。
      802.3x Flow Control Mode......................... Disable
      FIPS prerequisite features....................... Enabled
      WLANCC prerequisite features..................... Enabled
      UCAPL prerequisite features...................... Disabled
      secret obfuscation............................... Enabled
      

      UCAPL の設定(CLI)

      はじめる前に

      FIPS および WLAN CC をコントローラ上で有効にする必要があります。


        ステップ 1   コントローラで UCAPL を設定するには、次のコマンドを入力します。 config switchconfig ucapl {enable | disable }
        ステップ 2   次のコマンドを入力して、FIPS の設定を表示します。 show switchconfig
        以下に類似した情報が表示されます。
        802.3x Flow Control Mode......................... Disable
        FIPS prerequisite features....................... Enabled
        WLANCC prerequisite features..................... Enabled
        UCAPL prerequisite features...................... Enabled
        secret obfuscation............................... Enabled