Skip to main content

This documentation is for an older version of this product. See the latest version of this content.Opens in a new tab

データベース暗号化の FIPS 140–2 準拠

特定のプラットフォームでは、InterSystems IRIS® データ・プラットフォームは FIPS 140–2 に準拠したデータベース暗号化をサポートします (FIPS 140–2 は Federal Information Processing Standard Publication 140-2 を指します。詳細は、http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfOpens in a new tab で確認できます)。

このバージョンの InterSystems IRIS は、x86-64 対応の Red Hat Enterprise Linux で、FIPS 140-2 に準拠したデータベース暗号化をサポートしています。Red Hat は、OpenSSL libcrypto.so ライブラリおよび libssl.so ライブラリの検証証明書を保有しています。FIPS モードでの実行時には、InterSystems IRIS はこれらの証明書ライブラリを使用します。Red Hat Linux のマイナー・バージョンに最新の証明書があるかどうかを確認するには、Red Hat のドキュメントOpens in a new tabを参照してください。

Note:

FIPS モードが有効な場合の動作:

  • Red Hat 7 では TLSv1.0 ~ TLSv1.2 のみがサポートされます。

  • Red Hat 8 では TLSv1.2 と TLSv1.3 のみがサポートされます。

政府規格に対する Red Hat のサポートについては、https://access.redhat.com/articles/2918071Opens in a new tab を参照してください。

FIPS サポートの有効化

InterSystems IRIS で、FIPS 140–2 に準拠したデータベース暗号化のサポートを有効にするには、以下を実行します。

  1. Red Hat リポジトリから openssl パッケージ (rhel-8-server-rpms) をダウンロードしてインストールします。

  2. オペレーティング・システムの FIPS モードを有効にします。手順については、Red Hat の Web サイトの記事 "RHEL 6/7/8 を FIPS 140-2 準拠に設定するにはどうすればよいですか?Opens in a new tab" を参照してください (この記事にアクセスするには、Red Hat のログイン資格情報が必要です)。

  3. ディレクトリ /usr/lib64 で、以下のシンボリック・リンクを確認します。シンボリック・リンクが存在しない場合、作成します。

    • シンボリック・リンク libssl.so.1.1 は、同じディレクトリ内の適切なファイル (libssl.so.1.1.1g ファイルなど) を指している必要があります。

    • シンボリック・リンク libcrypto.so.1.1 は、同じディレクトリ内の適切なファイル (libcrypto.so.1.1.1g ファイルなど) を指している必要があります。

  4. InterSystems IRIS で、FIPSMode CPF パラメータに True (1) を指定します。そのためには、以下の操作を実行します。

    1. 管理ポータルを開きます。

    2. [システム管理][構成][追加設定][開始] を選択します。

      FIPSMode の行が表示されます。

    3. FIPSMode の値を True に指定して、変更内容を保存します。

  5. InterSystems IRIS を再起動します。

  6. "暗号化データベースの使用法" で説明されているように、暗号化データベースを有効化して構成します。

開始動作と messages.log

InterSystems IRIS の開始時 :

  • FIPSMode が 0 の場合、InterSystems IRIS ネイティブの暗号化が使用されます。Intel AES-NI ハードウェア命令を使用する、最適化されたアセンブリー・コードなどです (CPU がサポートする場合)。このモードでは、InterSystems IRIS は開始時、messages.log に以下を書き込みます。

    FIPS 140-2 compliant cryptography for database encryption is not configured in iris.cpf

  • FIPSMode が 1 の場合、InterSystems IRIS は /usr/lib64/libcrypto.so FIPS 検証済みライブラリ内の関数への参照を解決しようとします。その後、FIPS モードでライブラリを初期化しようとします。これらの手順が成功すると、InterSystems IRIS は messages.log に以下を書き込みます。

    FIPS 140-2 compliant cryptography for database encryption is enabled for this instance.

  • FIPSMode が 1 で、ライブラリの初期化が失敗した場合、InterSystems IRIS は開始されません。この場合、messages.log には以下のメッセージが書き込まれます。

    FIPS 140-2 compliant cryptography for database encryption initialization failed. Aborting.

  • lnxrhx64 以外のプラットフォームでは、FIPSMode が 1 の場合、InterSystems IRIS ネイティブの暗号化が使用され、InterSystems IRIS はmessages.log に以下を書き込みます。

    FIPS 140-2 compliant cryptography for database encryption is not supported on this platform.

Previous section暗号化に関するその他の情報
FeedbackOpens in a new tab