FIPS PUB 140-3|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問10
出典:令和6年春期 午前Ⅱ 問10
分野:セキュリティ / セキュリティ技術評価
FIPS PUB 140-3の記述内容はどれか。
- ア:暗号モジュールのセキュリティ要求事項
- イ:情報セキュリティマネジメントシステムの要求事項
- ウ:デジタル証明書や証明書失効リストの技術仕様
- エ:無線LANセキュリティの技術仕様
TSUNAGARU-ADVICE
まず押さえたいこと
FIPS PUB 140-3は、暗号アルゴリズムそのものではなく、暗号モジュールが満たすべきセキュリティ要求事項を定めた規格です。
迷ったときの判断軸
「暗号モジュール」という言葉が出てきたらFIPS PUB 140-3を結び付けると判断しやすくなります。ISMSの要求事項はISO/IEC 27001系、証明書やCRLの仕様はX.509系、無線LANセキュリティはIEEE 802.11系として整理できます。
科目Bにつなげるために
科目Bでは、暗号を使っているかだけでなく、暗号処理を行う部品や装置が信頼できる基準を満たしているかまで問われることがあります。FIPS PUB 140-3は、暗号モジュールの安全性評価に関する規格として理解しておきましょう。
FIPS PUB 140-3は、暗号モジュールに対するセキュリティ要求事項を定めた米国連邦情報処理標準です。
暗号モジュールの設計・実装・運用環境・物理的セキュリティ・鍵管理・自己テストなどに関する要件を規定しています。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:情報セキュリティマネジメントシステムの要求事項
⇒ISMSの要求事項であり、JIS Q 27001/ISO/IEC 27001の説明です。FIPS PUB 140-3は暗号モジュールのセキュリティ要求事項です。
ウ:デジタル証明書や証明書失効リストの技術仕様
⇒X.509やRFC 5280などの説明です。FIPS PUB 140-3は証明書やCRLの仕様ではありません。
エ:無線LANセキュリティの技術仕様
⇒IEEE 802.11i/WPA2・WPA3などに関する説明です。FIPS PUB 140-3は無線LANセキュリティ仕様ではありません。