FIPS140

「FIPS140」

データ活用やDX成功に必要な考え方を、各種キーワードの解説で理解できる用語解説集です。
今回は、企業活動を支えるITシステムに求められる「安全安心さ」に関係して考えないといけないことについて考えてみましょう。

FIPS140とは

FIPS140（Federal Information Processing Standards Publication 140）とは、アメリカ国立標準技術研究所（NIST）が策定した、暗号モジュールのセキュリティ要件に関連する米国連邦標準規格です。
アメリカ連邦政府の各機関が利用する機器に含まれる「暗号モジュール」が満たすべき要件がまとめられています。民間企業がITシステムを調達する際のセキュリティ要求としても用いられることがあるなど、安全安心が求められる様々な分野で利用されていることがあります。

安全安心なITシステムのための「FIPS140」

FIPS140が必要とされている背景には、これからますます重要になるであろう「そのITシステムは安全なのか」を確認したいニーズがあります。

たとえば公的機関、政府や自治体に関連した組織のITシステムでは情報を慎重に取り扱う必要があります。あなたの個人情報が市役所のITシステムから漏れてしまっては困りますし、警察の捜査情報など公的機関側の事情できちんと管理されていないと困るデータもあります。世の中でのIT活用は今後進むばかりですし、ITシステムが「安全安心にしっかり作ってあること」は今後とにかく重要になるはずです。

この辺の事情は当然日本でもアメリカでも同じです、公的機関のITシステムは安全安心に作られている必要があります。しかしながら、「ITシステムがきちんと安全安心に作られているかどうか」を確認することは容易ではありません。例えば、あなたが「このITシステムが安全か確認して判断してください」と言われても困ると思います。

ITシステムを外部に発注して作ってもらうときにも、どのような要求項目を設けてどのように発注すれば安全安心なITシステムを作ってもらえるでしょうか、なかなか簡単なことではありません。何とかして要求項目を整理したとしても、技術は日々進歩しますから、時間が経つとITシステムに要求すべきことも変わってきます。

• 安全安心なITシステムが必要
• しかしながら「このITシステムは安全安心である」かどうか確認することは容易ではない
• ITシステムを発注する際にも同じで、どういう要求項目を書いて発注すればよいのか解らない

この辺の事情は民間企業でも同じです。例えば、あなたが自社のITシステムの開発を発注する担当になったとします。「このシステムは大事なデータを扱うので、安全安心に作ってほしい」と言われたら、同じ悩みを抱えることになるはずです。

そういう場合にはどういうことになりがちでしょうか。信頼できそうな大手ベンダーにとりあえず相談して、でも難しいところ解らないので実質的にお任せにしたりするかもしれません。しかしながら今は、大手企業のITシステムでも事故が起こったりしている時代です。その後、ITシステムがトラブルを起こしてしまい、苦情を言ってみても契約の範囲内で開発を行ったので（開発依頼にそんな要求はありませんでしたよね）対応しかねますと言われてしまって困るとか、そういうこともあるかもしれません。

何がいけないのでしょう、何らかの客観的な「安全安心の基準」が無いとそのようになってしまいがちです。そこで整備されたものが、安全安心なITシステム（の暗号モジュール）が何を満たすべきかについて具体的に明らかにした「FIPS140」です。

FIPS140はどんな内容か

FIPS140は、アメリカの公的研究機関であるNIST（アメリカ国立標準技術研究所）、つまり本物の専門家が策定しています。ITシステム全体でのセキュリティではなく、ITシステムの中で暗号データを取り扱う部分を「暗号モジュール」として、その部分が満たすべきことを定めています。

データを暗号化して保護された状態にする機能（平文のデータを暗号文にする）、保護されたデータを元に戻して利用できるようにする機能（暗号文を平文に戻す）、そのためのパスワードなどの秘密鍵を安全に保持する機能や、それらで用いられる暗号化アルゴリズムなどを対象としています。

あるいは言い換えればそれ以外の安全安心（データが利用時にオペレータのミスなど他の理由で漏洩することを防ぐことなど）については、FIPS140では直接の対象としていません。また、ソフトウェアだけではなくハードウェアとしても満たすべきことが定められており、保護のレベルも定められています。大まかにですが以下のような内容です。

レベル1

指定された安全な暗号技術が用いられていること、などが求められます。

安全ではない技術の例としては、攻撃方法が発見されていて所定の強度がすでに無い暗号技術や（DES暗号など）や、脆弱性が見つかっているハッシュアルゴリズム（SHA-1など）、コンピュータの計算能力の向上により安全ではなくなった鍵の長さでの暗号利用（2048ビット未満のRSA暗号など）などがあります。

安全性の高い暗号としては、同じくNISTが標準暗号として定めていて、世界的に共通鍵暗号のデファクトスタンダードになっているAES暗号などがあります。

レベル2

パスワードやデータそのものなど、保護されている領域への不正なアクセスがあったことを検知する仕組みなど、安全が侵害されたことを検出する仕組みを備えていること、などが求められます。

例えば、物理的な封印シールを破らないとハードウェア内部にアクセスできなくすることで、シールを確認することで直接データが読み取られた可能性を検知することができることができます。それ以外には、ソフトウェア的にデータアクセスする際にもロールベースの認証を経由すること、認証済みの安全なOS上で動作していることなどが求められます。

レベル3

保護されている領域への不正なアクセスを防ぐ仕組みを備えていることが求められます。

例えば、封印を破ってハードウェア内部にアクセスした時点で、保持している機密データを自動消去する仕組みがあれば、データが侵害されることを抑制することができます。それ以外にも、データアクセスをする際にはIDベースでの認証が求められることや、パスワードや暗号鍵などを暗号化して保存すること、それら重要なデータを入出力するインタフェースをデータの入出力と分離することなどが求められます。

レベル4

レベル4では、レベル3よりもさらに進んで、想定される様々な攻撃を検出してデータを自動消去する仕組みを備えていることなどが求められます。

FIPS140はどのように役に立つか

自社が開発したITシステムをアメリカの公的機関に採用してもらいたいなら、FIPS140は当然役に立ちますが、それ以外でも役に立つことがあります。

他分野でもシステム導入の要件になっていることがある

FIPS140は民間分野の一部でもデファクトスタンダードとなっていることがあります。なぜなら、各分野でも安全安心のニーズは存在しますが、分野ごとに独自に安全安心の基準を設けるのは大変だからです。その代わりに、既に使われているFIPS140が採用されていることがあります。例えば、金融分野や医療分野でFIPS140への対応が必要になる場合があります。

自社製品をPRする手段に使えるし、安全安心なITを調達する手段で利用できる

自社製品でFIPS140の認証を受けると、それ以降は個別に安全安心を説明する必要を減らせる可能性があります。ITシステムを発注して調達したい時の選定要件として用いると、自分たちで詳細に要件を決めて詳細に確認する必要を減らせる可能性があります。つまり、ITシステムを作る側もITシステムを調達する側も手間が減ることがあります。

時代にあわせて定期的に改訂されている

FIPS140は定期的に改訂がなされており、技術の変化に合わせて要求する項目を見直すなどの内容の変更が行われています。

執筆現在、FIPS140には二つのバージョンが存在しており、FIPS140-2と2019年9月に新たに発効したFIPS140-3があって移行中です。FIPS140-3では、その後に脆弱性が見つかった暗号アルゴリズムの除外などが行われています。時代にあわせて変えなければならないことに対応できているかを、確認する基準にすることができます。

セキュアなシステムの開発の指針にできる

FIPS140、安全安心なシステムを作るために考慮すべきことが具体的に書かれた文書ですから、詳細に規定されている「すべきこと」を参考にして自社でのシステム開発のガイドラインにすることができます。

自社で高度にセキュアなシステム開発に取り組もうとしても、何をどうしたらいいのか、なかなか解らないはずです。上記でごく簡単に各レベルで満たすべきことについて紹介しましたが、侵害を検知できれば安全が保たれているか確認できる観点や、データを自動消去して被害を防ぐ考え方は、そういう発想が無かった人からすると、勉強になると思えたはずです。

FIPS140では満たすべきことが詳細に記載されているため、高度なセキュリティの確保のために自分たちが何をすればよいのかを考える手段として利用することができます。

日本で「安全安心」の説明手段として使えるHULFT

日本国内で同じように「安全安心である」ことの説明手段や実現手段に使えるかもしれないことがあります。ファイル連携ミドルウェア「HULFT」を基盤技術として利用している、という説明です。

日本の金融機関の全てが利用している

金融機関のITシステムは当然に非常に高度な「安全安心確実さ」が求められます。HULFTは日本の金融機関の全て（銀行協会の会員企業の全て）で利用されている実績があります。

日本の基幹システムのファイル連携基盤では、長年にわたりHULFTがデファクトスタンダードとなっており、安全安心確実さが求められる分野での圧倒的な実績があります。「HULFTを使っています」という説明が、安全安心に作っていることを顧客に納得してもらう手段になることがあります。

またHULFTが備えているAES暗号化機能も、FIPS140に対応したAES暗号モジュールを利用しています。

今や最新のITにも対応していて、新旧ITをスムーズに「つなぐ」

HULFTには長年の実績を伴った信頼があります。言い換えれば昔からある製品であるために古い技術であるイメージがあることもあります。しかし、今やクラウドとの連携やコンテナを用いたマイクロサービスアーキテクチャでの運用も考慮されているなど、最新の技術への対応も日々続けられています。

その結果、メインフレーム上のデータをAWS上のAmazon S3を連携するような、新旧技術を自在に組み合わせる手段としても利用されています。対応が大変なメインフレーム上の日本語データ（外字を含むEBCDICのデータなど）との相互の変換処理にもしっかりした対応能力があります。

しかも、HULFTを介して新旧システムは疎結合となり、ITシステムは別々に切り離されて運用されている状態を保ちつつデータは連携された状態とすることができます。エンジニアのスキルセットについても、メインフレームエンジニアはメインフレームしかわからない、AWSなどクラウド側を担当するエンジニアはメインフレームがまったくわからないようなありがちな状況でも、問題なく新旧ITでもデータ連携が実現できるようになります。

関係するキーワード（さらに理解するために）

• ファイル連携
  • 様々な企業活動を支えるITシステムの基盤として活躍している連携手段です。業務に関連して取り扱われているデータ、特に事務処理や経理に関連するITの利活用では、ファイル形式でのデータのやり取りはとても一般的です。
• MFT（Managed File Transfer）
  • ファイルによる連携処理を、企業活動を支えられるだけの高度な水準の「安全安心確実さ」で実現する連携基盤です。間違いがあってはならない業務や監査対応など、高度な信頼が求められるITシステムの実現手段として利用できます。
• PCI DSS
  • クレジットカード業界による、クレジットカード番号などカード利用者の情報を取り扱うITシステムに守ることを義務付けられているセキュリティ基準です。
• GDPR（EU一般データ保護規則）
  • 欧州連合（EU）における「個人に関するデータ」の取り扱いについて、配慮しなければいけないことを定めた規則です。EUの考える、人権に配慮してデータを取り扱うためには、どのようなことができていなければいけないかについて規則として定めたものです。

HULFTとファイル連携（MFT）に興味を持たれましたら

興味を持たれましたら、ぜひファイル連携の世界を実現する製品を実際に試してみてください。

MFTの決定版「HULFT」

国内で圧倒的な実績がある、国産MFT製品の最高峰にして「ファイル連携基盤のデファクトスタンダード」である「HULFT（ハルフト）」を是非お試しください。

ITシステムに対して最高度の対応が求められる金融機関でその基盤として長年使われているなど圧倒的な実績があります。あらゆる環境が、あっという間にファイルでつながった世界が出来上がります。

今ではHULFTはクラウドサービスとの連携など最新のIT環境にも対応しており、大容量ファイルの高速転送や、大量のファイルの転送処理など、性能が求められる状況でも活躍しています。

⇒ ファイル転送の仕組みを学ぶ HULFT 製品紹介・オンラインセミナー

インターネット経由で安全安心のファイル転送が利用できる「HULFT WebConnect」

HULFTの安全安心確実なファイル転送を、インターネット回線経由で利用できるクラウドサービスが「HULFT WebConnect（ハルフト・ウェブコネクト）」です。

自社の拠点間はもちろん、海外支社との間や取引先との間など、エンタープライズクラスのしっかりしたファイル連携手段を、一般のインターネット回線だけで実現できます。

• インターネットの向こう側ともHULFTによる転送を利用できます
• コストのかかる専用線やVPNなどが不要で低コストです
• クラウドサービスのため、自社での運用作業が不要ですぐに利用開始できます
• 転送路に情報を残さない仕様となっているなど、監査対応に配慮した仕様です
• 通信相手が多数の企業の場合を想定した機能があります
  • 多数の取引先と請求書や注文書などをセキュアにやり取りする基盤として活用できる機能が整えられています（簡単に利用できる専用クライアントなど）

⇒ WebConnectの 製品紹介・オンラインセミナー

用語集 コラム一覧

英数字・記号

• 2025年の崖
• 5G
• AI
• API【詳細版】
• API基盤・APIマネジメント【詳細版】
• BCP
• BI
• BPR
• CCPA(カリフォルニア州消費者プライバシー法)【詳細版】
• Chain-of-Thoughtプロンプティング【詳細版】
• ChatGPT（Chat Generative Pre-trained Transformer）【詳細版】
• CRM
• CX
• D2C
• DBaaS
• DevOps
• DWH【詳細版】
• DX認定
• DX銘柄
• DXレポート
• EAI【詳細版】
• EDI
• EDINET【詳細版】
• ERP
• ETL【詳細版】
• Excel連携【詳細版】
• Few-shotプロンプティング / Few-shot Learning【詳細版】
• FIPS140【詳細版】
• FTP
• GDPR（EU一般データ保護規則）【詳細版】
• Generated Knowledgeプロンプティング（知識生成プロンプティング）【詳細版】
• GIGAスクール構想
• GUI
• IaaS【詳細版】
• IoT
• iPaaS【詳細版】
• MaaS
• MDM
• MFT（Managed File Transfer）【詳細版】
• MJ+（行政事務標準文字）【詳細版】
• NFT
• NoSQL【詳細版】
• OCR
• PaaS【詳細版】
• PCI DSS【詳細版】
• PoC
• REST API（Representational State Transfer API）【詳細版】
• RFID
• RPA
• SaaS（Software as a Service）【詳細版】
• SaaS連携【詳細版】
• SDGs
• Self-translateプロンプティング /「英語で考えてから日本語で答えてください」【詳細版】
• SFA
• SOC（System and Organization Controls）【詳細版】
• Society 5.0
• STEM教育
• The Flipped Interaction Pattern（解らないことがあったら聞いてください）【詳細版】
• UI
• UX
• VUCA
• Web3
• XaaS（SaaS、PaaS、IaaSなど）【詳細版】
• XML
• ZStandard（可逆データ圧縮アルゴリズム）【詳細版】

あ行

• アバター
• 暗号資産
• イーサリアム
• エラスティック（弾力性・伸縮自在）【詳細版】
• オートスケール
• オープンデータ（open data）【詳細版】
• オンプレミス【詳細版】

か行

• カーボンニュートラル
• 仮想化
• ガバメントクラウド【詳細版】
• 可用性
• 完全性
• 機械学習【詳細版】
• 基幹システム
• 機密性
• キャッシュレス決済
• 共通鍵暗号 / DES / AES（Advanced Encryption Standard）【詳細版】
• 業務自動化
• クラウド
• クラウド移行
• クラウドネイティブ【詳細版】
• クラウドファースト
• クラウド連携【詳細版】
• 検索拡張生成（RAG：Retrieval Augmented Generation）【詳細版】
• コンテキスト内学習（ICL: In-Context Learning）【詳細版】
• コンテナ【詳細版】
• コンテナオーケストレーション【詳細版】

さ行

• サーバレス（FaaS）【詳細版】
• サイロ化【詳細版】
• サブスクリプション
• サプライチェーンマネジメント
• シンギュラリティ
• シングルサインオン（SSO：Single Sign On）【詳細版】
• スケーラブル（スケールアップ/スケールダウン）【詳細版】
• スケールアウト
• スケールイン
• スマートシティ
• スマートファクトリー
• スモールスタート（small start）【詳細版】
• 生成AI（Generative AI）【詳細版】
• セルフサービスBI（ITのセルフサービス化）【詳細版】
• 疎結合【詳細版】

た行

• 大規模言語モデル（LLM：Large Language Model）【詳細版】
• ディープラーニング
• データ移行
• データカタログ
• データ活用
• データガバナンス
• データ管理
• データサイエンティスト
• データドリブン
• データ分析
• データベース
• データマート
• データマイニング
• データモデリング
• データリネージ
• データレイク【詳細版】
• データ連携 / データ連携基盤【詳細版】
• デジタイゼーション
• デジタライゼーション
• デジタルツイン
• デジタルディスラプション
• デジタルトランスフォーメーション
• デッドロック/ deadlock【詳細版】
• テレワーク
• 転移学習（transfer learning）【詳細版】
• 電子決済
• 電子署名【詳細版】

な行

• ニューラルネットワーク
• ノーコード開発（No-code development）【詳細版】

は行

• ハイブリッドクラウド
• バッチ処理
• 非構造化データ
• ビッグデータ
• ファイル連携【詳細版】
• ファインチューニング【詳細版】
• プライベートクラウド
• ブロックチェーン
• プロンプトテンプレート【詳細版】
• ベクトル化 / エンベディング（Embedding）【詳細版】
• ベクトルデータベース（Vector database）【詳細版】

ま行

• マーケットプレイス
• マイグレーション
• マイクロサービス（Microservices）【詳細版】
• マネージドサービス【詳細版】
• マルチテナント
• ミドルウェア
• メタデータ
• メタバース

や行

ら行

• リープフロッグ現象（leapfrogging）【詳細版】
• 量子コンピュータ
• ルート最適化ソリューション
• レガシーシステム / レガシー連携【詳細版】
• ローコード開発（Low-code development）【詳細版】
• ロールプレイプロンプティング / Role-Play Prompting【詳細版】

わ行

• ワークフロー

» データ活用コラム一覧

おすすめコンテンツ

関連コンテンツ