東芝情報システム株式会社

FIPS 140 とは

FIPS 140*1 は、NIST*2 が策定した暗号モジュール(ハードウェアやソフトウェアを含む)のセキュリティ要件に関する米国連邦標準規格です。
現在では、FIPS 140は暗号アルゴリズム実装の国際標準として世界的に認知され、国際規格ISO/IEC 19790*3 も FIPS 140-2 がベースとなって策定されています。

FIPS 140のバージョンは、 FIPS 140-2 の他、FIPS 140-3 が 2019年 9月に新たに発効され、現在の最新規格となっています。(2021年 5月時点)。
なお、FIPS 140-3は、脆弱性の心配のあるアルゴリズムが排除され、国際規格ISO / IEC 19790:2012「暗号化モジュールのセキュリティ要件」に準拠して策定されています。

*1Federal Information Processing Standard 140

*2National Institute of Standards and Technology:米国国立標準技術研究所

*3暗号モジュールのセキュリティに関する国際規格

FIPS 140認証が必要とされる理由

米国政府機関等が軍事利用を除く情報・通信機器の調達・利用する場合は、米国政府の調達規準として FIPS認証済の暗号モジュールの使用が要求されます。
また、カナダ、イギリス等でも FIPS 140認証済の暗号モジュールの使用を推奨しており、実質的に政府調達規準となっています。

日本でも安全性・信頼性の高い IT 製品等の利用推進及び、政府調達における 情報セキュリティの確保のため、「国際標準に基づくセキュリティ要件」の確保という観点で、FIPS 140-2認証取得が条件づけられるケースも出てきています。

また、一般企業の調達要件でも FIPS 140-2準拠という要件が入るようになってきました。

その他、セキュリティの規制が厳しい産業分野では、事実上のセキュリティ基準として広がりを見せています。
したがって、政府機関等で使用される情報・通信機器(軍事利用を除く)の製品ベンダは、FIPS 140認証を取得した暗号モジュールを製品に組込む必要がでてきています。

FIPS 140-2認証の有効期限

現行の FIPS 140-2 の新規認証受付は 2022年 4月 1日で終了し、FIPS 140-3 (ISO19790)認証へ移行します。今後、暗号アルゴリズムの認証については、FIPS 140-3 に準拠していることが求められます。

なお、現在、FIPS 140-2認証取得済のソフトウェア、ハードウェアについての有効期限は認証後 5年まで、あるいは認証後 5年未満でも最大 2026年 9月 21日までとなります。

お気軽にお問い合わせください。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く