FIPS対応製品の使用が義務である環境で本アプリケーションを操作している場合、またはFIPS認定の暗号化モジュールを利用するセキュリティが必要な場合、FIPSモードを有効化しなければなりません。本アプリケーションは、政府機関およびFIPSガイドラインを採用している企業により求められる、連邦情報処理規格(FIPS)140-2暗号の使用をサポートしています。
FIPS公示は、コンピュータセキュリティ製品のベストプラクティスのための一連の規格です。FIPS認証は、暗号を利用する製品のあらゆる部分に適用されます。FIPS認定製品は研究所によりレビューされ、FIPS 140-2(暗号モジュールセキュリティ要件の規格)に準拠していること、および少なくとも1つのFIPS認定アルゴリズムをサポートしていることについて確認を受けます。
さまざまな国の政府機関および民間企業に、FIPS認定製品の使用が義務付けられています。
FIPSモードは、FIPSが承認するアルゴリズムのみを使用する設定です。本アプリケーションはFIPSモードで動作するよう設定されており、ブラウザとAPIインターフェースの両方について、セキュリティ・コンソールとスキャン・エンジンとの間の、およびセキュリティ・コンソールとユーザーとの間の暗号交信に対して、FIPS認定暗号ライブラリを実装します。
暗号キー作成留意事項により、FIPSモードまたは非FIPSモードで実行するという決定は取消不能であるという事実に、注意を払うことが重要です。本アプリケーションはインストール後即座に、および初めて起動する前に、またはデフォルトの非FIPSモードで実行するその他の状況の前に、FIPSモードで実行するよう設定されていなければなりません。一度選択を行い本アプリケーションを起動すると、モードを切り替えるには再インストールが必要となります。
Nexposeがインストールされると、デフォルトでは非FIPSモードで実行するよう設定されています。本アプリケーションは、初めて起動する前にFIPSモードで実行するよう設定されていなければなりません。1ページのLinuxでFIPSモードを有効化するをご参照ください。
FIPSモードが有効化されると、本アプリケーションと非FIPSモード対応のアプリケーション(ウェブブラウザまたはAPIクライアント)との間の交信は、正しく機能しない可能性があります。
インストール後に初めて本アプリケーションを起動する「前」に、これらのステップを行わなくてはなりません。
FIPSモードを有効化するには:
暗号化アルゴリズムでは、無作為番号を生成するため大量のエントロピープールが必要です。エントロピープールがフルであることを確かにするには、本アプリケーション実行中にrngdデーモンを実行しなければなりません。rngdデーモンは、rng-utils Linuxパッケージの一部です。
ヒント: rngdコマンドをシステムのスタートアップファイルに追加して、サーバー再起動の度に実行されるようにします。
rngd -b -r /dev/urandom
を実行します。fipsMode=1
CustomEnvironment.properties
インストール後に初めて本アプリケーションを起動する前に、これらのステップを行わなくてはなりません。
FIPSモードを有効化するには:
fipsMode=1
注意: スタートアップにあたり、CustomEnvironment.propertiesファイルを利用して、データベース一貫性チェックを無効化可能です。これは、技術サポートにより指示があった場合のみ実行してください。
CustomEnvironment.properties
FIPSモードが無事に有効化されていることを確認するには、セキュリティ・コンソール・ログファイルをチェックして以下のメッセージを見つけてください:
FIPS 140-2 mode is enabled.(FIPS 140-2モードが有効化されています。)Initializing crypto provider(暗号プロバイダを初期化中)
Executing FIPS self tests...(FIPS自己テストを実行中...)