NetWitness Suite 11.0には、NetWitness Suite内のすべての暗号化操作をサポートするFIPS認定140-2暗号形式モジュールが付属しています。NetWitness Suiteは、レベル3設計保証をサポートする次の2つのモジュールを活用します。
- RSA BSAFEBSAFE Crypto-J
- OpenSSL with BSAFE(OWB)
どちらのモジュールも、標準NetWitness Suite構成と同等の運用環境で認定されています。
デフォルトでは、暗号形式モジュールは、可能な限りFIPS認定の暗号スイートを強制的に使用します。例外については、以下の情報およびリリース ノートを参照してください。FIPSモジュールの詳細については、http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htmを参照してください。
RSA BSAFEBSAFE Crtypo-J FIPS証明書の番号は2468で、OWB FIPS証明書は証明書番号2300でRSA BSAFEBSAFE Crypto-C Micro Editionに含まれています。
11.0.0.0では、FIPSはLog Collectorを除くすべてのサービスで有効です。これには、10.6.4.xでFIPSが有効であった場合のLog DecoderとDecoderが含まれます。Log Collector、Log DecoderおよびDecoderを除くどのサービスでもFIPSを無効にできません。
注:11.0.0.0を新規にインストールする場合、デフォルトでは、Log CollectorとLog Decoderを除くすべてのコア サービスにFIPSが適用されます。Log Collector、Log DecoderおよびPacket Decoderを除くどのサービスでもFIPSを無効にできません。
注:10.6.4.xから11.0.0.0にアップグレードする場合は、Log Collector、Log Decoder、およびDecoderサービスに次の条件が適用されます。
- Log Collectorは、10.6.4.xでFIPSが有効であった場合でも、11.0.0.0へのアップグレード後FIPSは有効になっていません。11.0.0.0にアップグレードした後にFIPSのサポートを有効にする必要があります。「Log CollectorでのFIPSのサポート」の手順を参照してください。
- 10.6.4.xでLog DecoderとPacket Decoderサービスに対してFIPSが有効であった場合は、11.0.0.0でもFIPSは有効です。ただし、Log DecoderとPacket Decoderが10.6.4.xでFIPSが有効になっていなかった場合、11.0.0.0でもFIPSは有効になりません。必要に応じて、これらのサービスに対してFIPSを手動で有効化する必要があります。「Log DecodersおよびDecoderでのFIPSのサポート」の手順を参照してください。
Log CollectorでのFIPSのサポート
Log CollectorでFIPSを有効にするには、次の手順を実行します。
- Log Collectorサービスを停止します。
- /etc/systemd/system/nwlogcollector.service.d/nwlogcollector-opts-managed.confファイルを開きます。
- ここで説明するように、次の変数の値をoffに設定します。
Environment="OWB_ALLOW_NON_FIPS=on"
から以下に変更します。
Environment="OWB_ALLOW_NON_FIPS=off" - 次のコマンドを実行して、システム デーモンを再ロードします。
systemctl daemon-reload - Log Collectorサービスを再開します。
- UIで、Log CollectorサービスにFIPSモードを設定します。
注:このステップは、10.6.4から11.0.0.0にアップグレードし、FIPSが10.6.4で有効になっていた場合は不要です。
- [管理]>[サービス]に移動します。
- Log Collectorサービスを選択し、[表示]>[構成]に移動します。
- SSL FIPSードで、[構成]の下のチェックボックスを選択し、[適用]をクリックします。
Log DecodersおよびDecoderでのFIPSのサポート
10.6.4.xでFIPSが有効になっていなかったLog DecoderおよびDecoderでFIPSを有効にするには、次の手順を実行します。
- [管理]>[サービス]に移動し、Log DecoderまたはPacket Decoderサービスを選択します。
- [表示]>[構成]を選択し、[システム構成]で[構成]列のチェックボックスを選択して[SSL FIPS Mode]を有効にします。
- サービスを再起動します。
- [適用]をクリックします。