セキュリティの現場から from バラクーダラボ(383) バラクーダネットワークス、連邦情報処理基準の評価プログラムを初めて完了

バラクーダネットワークスは、連邦情報処理基準（FIPS）の評価プログラムに初めて参加し、無事に合格しました。

Barracuda Software Cryptographic Moduleバージョン1.0.1.8はFIPS 140-2レベル1の規格に合格し、認定証が米国立標準技術研究所（NIST）のWebサイトに掲載されています。http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2015.htm

FIPS 140-2は、軍以外の政府機関や政府機関の業者やベンダー向けの標準であり、ドキュメント処理、暗号化アルゴリズム、その他情報テクノロジ標準を規定します。暗号化モジュールの設計と実装について、11の領域においてセキュリティ要件が規定されています。領域ごとに、暗号化モジュールが要件を満たしているかどうかに基づいて、セキュリティレベル（低い順から1～4）が評価されます。暗号化モジュールは、暗号化、復号化、その他暗号化機能を実装するコンポーネント群です。

Barracuda Web Application Firewallは、認定を取得したBarracuda Software Cryptographic Moduleバージョンを実装する最初の製品です。Barracuda Web Application Firewallにこの標準規格を適用した理由は、この製品はオンプレミスの仮想アプライアンスやパブリッククラウドインスタンスとして導入されるため、ソフトウェアベースの認定が最も適しているからです。

では、FIPS 140-2認定取得は、ユーザにとって何を意味するでしょうか。

FIPS 140-2とは、米国政府機関向けの暗号化標準です。この認定を取得していない製品は、別途用意された所定の手順を踏まない限り、機密性の高い米国政府のネットワークに導入することはできません。またFIPS 140-2は米国外でも暗号化の実質的な標準として広く認知されており、HIPAA、COPPA、ESIGNをはじめとする標準規格への準拠において多くの公共／民間企業が採用しています。つまり、FIPS 140-2認定製品を使用すれば、セキュリティおよび法規制へのコンプライアンス要件を満たすことができます。

この製品はMicrosoft Azure GovernmentとAWS GovCloudに特に適しており、このようなクラウド環境のユーザが抱えるセキュリティ要件に対応します。Azure Governmentでバラクーダネットワークスが提供するソリューションの詳細は、cuda.co/pr181、AWS GovCloud向けソリューションはcuda.co/pr221をご覧ください。

バラクーダネットワークスにとって今回の認定取得は非常に重要な意味を持っています。認定取得により、米国連邦政府、州政府機関、地方政府機関はもちろん、民間企業のアプリケーションセキュリティで求められる重要な要件に対応でき、積極的なソリューション展開が可能になります。バラクーダネットワークスは、他の製品についてもFIPS認定を取得する予定です。

バラクーダネットワークスの公共部門を対象にした取り組みについては、cuda.co/fedgovをご覧ください。

※本内容はBarracuda Product Blog 2015年11月10日Barracuda Completes First Federal Information Processing Standards Validationを翻訳したものです。