FIPS PUB 140-3|情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問7

出典:令和3年秋期 午前Ⅱ 問7 分野:セキュリティ / セキュリティ技術評価
FIPS PUB 140-3の記述内容はどれか。
  • ア:暗号モジュールのセキュリティ要求事項
  • イ:情報セキュリティマネジメントシステムの要求事項
  • ウ:デジタル証明書や証明書失効リストの技術仕様
  • エ:無線LANセキュリティの技術仕様
この問題を解く
解説

FIPS 140は、暗号モジュールの安全性に関する米国連邦政府の標準規格です。

暗号モジュールとは、暗号化や復号、鍵管理などを行うハードウェアやソフトウェアのことです。FIPS 140では、これらが安全に作られ、正しく動作するための要件を定めています。

項目 内容
対象 暗号機能を持つハードウェアやソフトウェア
策定機関 NIST(米国国立標準技術研究所)
目的 米国連邦政府機関で使う暗号モジュールの安全性を確保する
最新版 FIPS 140-3

FIPS 140-3では、暗号モジュールの安全性をレベル1からレベル4までの4段階で評価します。数字が大きいほど、より高い安全性が求められます。

つまりFIPS 140は、「暗号機能を持つ製品が、政府機関で使える安全性を満たしているかを確認するための基準」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:情報セキュリティマネジメントシステムの要求事項
⇒ISO/IEC 27001などの説明です。組織の情報セキュリティマネジメントシステムに関する要求事項であり、暗号モジュールのセキュリティ要求事項を定めるFIPS PUB 140-3とは対象が異なります。
ウ:デジタル証明書や証明書失効リストの技術仕様
⇒X.509などの説明です。公開鍵証明書や証明書失効リストの形式・仕様に関するものであり、暗号モジュールそのものの安全性要求を定めるFIPS PUB 140-3とは異なります。
エ:無線LANセキュリティの技術仕様
⇒IEEE 802.11iやWPA/WPA2/WPA3などに関する説明です。無線LANの認証や暗号化に関する技術仕様であり、暗号モジュールのセキュリティ要求事項を定めるFIPS PUB 140-3の説明ではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

FIPS PUB 140-3は、暗号化や復号、鍵管理などを行う暗号モジュールのセキュリティ要求事項を定めた規格です。暗号技術そのものだけでなく、暗号モジュールとして安全に実装・運用されているかを扱います。

迷ったときの判断軸

情報セキュリティマネジメントシステムの要求事項はISO/IEC 27001、デジタル証明書や証明書失効リストの技術仕様はX.509、無線LANセキュリティはIEEE 802.11系やWPAなどの文脈です。FIPS 140系は、暗号モジュールの評価・要求事項と判断しましょう。

科目Bにつなげるために

科目Bでは、暗号方式名だけでなく、暗号鍵をどこで生成・保管し、どのモジュールで処理するかが問われることがあります。FIPS PUB 140-3は、暗号機能を実装する部品や装置の安全性を見る規格として整理しておきましょう。

の問題 試験TOPへ の問題