Windows FIPS 140 の検証

  • [アーティクル]

連邦情報処理標準 (FIPS) パブリケーション 140 は、IT 製品の暗号化モジュールの最小セキュリティ要件を定義する米国政府標準です。 このトピックでは、Windows 暗号化モジュールの FIPS 140 検証について説明します。 Windows 暗号化モジュールは、Windows クライアント オペレーティング システム、Windows Server オペレーティング システム、Azure クラウド サービスなど、さまざまな Microsoft 製品で使用されます。

Microsoft は、FIPS 140 標準の要件を満たすという積極的なコミットメントを維持し、2001 年に最初に確立されて以来、それに対して暗号化モジュールを検証しています。 Windows 暗号化モジュールは、米国国立標準技術研究所 (NIST) とカナダサイバーセキュリティセンター (CCCS) の共同取り組みである 暗号化モジュール検証プログラム (CMVP) の下で検証されます。 CMVP は、暗号化モジュール (FIPS 140 の一部) および関連する FIPS 暗号化標準のセキュリティ要件に対して暗号化モジュールを検証します。 NIST Information Technology Laboratory は、Microsoft も参加する関連プログラムを運営しています。 暗号化アルゴリズム検証プログラム (CAVP) は FIPS が承認した暗号化アルゴリズムを認定し、 エントロピ検証プログラム は NIST SP 800-90B 標準へのエントロピ ソースを認定します。

Windows クライアント オペレーティング システムと暗号化モジュール

以下に示す Windows クライアント リリースには、FIPS 140 検証を完了した暗号化モジュールが含まれています。 CMVP 証明書、セキュリティ ポリシー ドキュメント、各モジュールのアルゴリズム スコープなど、詳細についてはリリースをクリックしてください。 CMVP 証明書検証ラベルに [ FIPS モードで動作する場合] というメモが含まれている場合は、セキュリティ ポリシーに記載されている特定の構成とセキュリティ規則に従う必要があります。

Windows 11 リリース

Windows 10 リリース

以前の Windows リリース

Windows Server オペレーティング システムと暗号化モジュール

以下に示す Windows Server リリースには、FIPS 140 検証を完了した暗号化モジュールが含まれています。 CMVP 証明書、セキュリティ ポリシー ドキュメント、各モジュールのアルゴリズム スコープなど、詳細についてはリリースをクリックしてください。 CMVP 証明書検証ラベルに [ FIPS モードで動作する場合] というメモが含まれている場合は、セキュリティ ポリシーに記載されている特定の構成とセキュリティ規則に従う必要があります。

Windows Server 2019 および 2016 リリース

Windows Server 半期リリース

以前の Windows Server リリース

FIPS 承認済み操作モードで Windows を使用する

FIPS 140 承認済みの操作モードで Windows と Windows Server を使用するには、モジュールのセキュリティ ポリシー ドキュメントに記載されている特定の構成とセキュリティ規則をすべて従う必要があります。 特定の製品リリースのセキュリティ ポリシー ドキュメントを表示またはダウンロードするには、上記のセクションのリリースの FIPS 140 検証済みモジュールの一覧に移動し、セキュリティ ポリシー ドキュメントへのリンクを選択します。

セキュリティ ポリシーのドキュメントに記載されている構成規則の一部として、Windows と Windows Server は、FIPS 140 承認済み動作モード (一般に "FIPS モード" と呼ばれます) で実行するように構成できます。現在のバージョンの Windows では、FIPS モード設定を有効にすると、暗号化操作を実行する前に、暗号化プリミティブ ライブラリ (bcryptprimitives.dll) モジュールとカーネル モード暗号化プリミティブ ライブラリ (CNG.sys) モジュールで自己テストが実行されます。 これらの自己テストは FIPS 140 要件を満たし、モジュールが正しく機能していることを確認します。 暗号化プリミティブ ライブラリとカーネル モード暗号化プリミティブ ライブラリは、FIPS モード構成設定を使用する唯一のモジュールです。 FIPS モードでは、使用する暗号化アルゴリズムは制御されません。 FIPS モード設定は、Windows の暗号化プリミティブ ライブラリ (bcryptprimitives.dll) コンポーネントとカーネル モード暗号化プリミティブ ライブラリ (CNG.sys) コンポーネントでのみ使用することを目的としています。

Windows サービスまたはアプリケーションが FIPS 140 に準拠しているかどうかを判断する

Microsoft は、個々の Windows サービスやアプリケーションではなく、Windows やその他の製品で使用される暗号化モジュールを検証します。 検証済みの Windows 暗号化モジュール (つまり、FIPS 140 要件を満たすとして CMVP によって検証され、証明書が発行されたモジュール) を FIPS 準拠の方法で呼び出すかどうか (つまり、FIPS 140 検証済み暗号化を呼び出し、定義された FIPS 承認モードに従って構成) するかどうかについては、サービスまたはアプリケーションのベンダーに問い合わせてください。

FIPS 140 と商用国家セキュリティ アルゴリズム スイート

商用国家セキュリティ アルゴリズム (CNSA) スイートは、NSA Suite B 暗号化アルゴリズムの代わりに国家安全保障局によって公布された暗号化アルゴリズムのセットです。 多くの CNSA 暗号化アルゴリズムも FIPS 140 標準で承認されています。 CNSA アルゴリズムが Microsoft 製品で使用される CAVP 検証済みアルゴリズムのスコープに含まれているかどうかを判断するには、上記のセクションの製品の FIPS 140 検証済みモジュールの一覧に移動し、検証された各モジュールに一覧表示されているアルゴリズム スコープを参照します。 アルゴリズムの詳細については、各モジュールのセキュリティ ポリシーに関するドキュメントを参照してください。

FIPS 140 および Common Criteria 認定資格

FIPS 140 と Common Criteria は、2 つの補完的なセキュリティ標準ですが、異なるセキュリティ標準です。 FIPS 140 は暗号化機能を検証するのに対し、Common Criteria は IT 製品のセキュリティ機能の幅広い選択を評価します。 一般的な抽出条件の評価では、FIPS 140 の検証に依存して、基本的な暗号化機能が適切に実装されていることを保証できます。 Microsoft の共通基準認定プログラムの詳細については、「 共通条件認定」を参照してください。

Contact

質問に問い合わせる fips@microsoft.com か、このトピックに関するフィードバックを提供してください。