ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問10
FIPS PUB 140-3はどれか。
ア:暗号モジュールのセキュリティ要求事項(正解)
イ:情報セキュリティマネジメントシステムの要求事項
ウ:デジタル証明書や証明書失効リストの技術仕様
エ:無線LANセキュリティの技術仕様
解説
FIPS PUB 140-3はどれか【午前2 解説】
要点まとめ
- 結論:FIPS PUB 140-3は暗号モジュールのセキュリティ要求事項を定めた規格です。
- 根拠:米国標準技術研究所(NIST)が発行し、暗号モジュールの設計・評価基準を示しています。
- 差がつくポイント:情報セキュリティの規格の中で「暗号モジュール」に特化している点を押さえることが重要です。
正解の理由
FIPS PUB 140-3は、暗号モジュールのセキュリティレベルを評価・認証するための標準規格です。暗号モジュールとは、暗号化や復号、鍵管理などの機能を持つハードウェアやソフトウェアのことを指します。この規格は、暗号モジュールの設計・実装に関するセキュリティ要件を詳細に定めており、金融機関や政府機関などでの利用が推奨されています。したがって、選択肢の中で「暗号モジュールのセキュリティ要求事項」を示すアが正解です。
よくある誤解
FIPS PUB 140-3は情報セキュリティ全般の管理規格ではなく、暗号モジュールの技術的なセキュリティ要件に特化しています。情報セキュリティマネジメントシステム(ISMS)とは異なります。
解法ステップ
- FIPS PUBシリーズが何を対象にしているかを確認する。
- 「暗号モジュール」というキーワードに注目する。
- 各選択肢の内容とFIPS PUB 140-3の定義を照合する。
- 暗号モジュールのセキュリティ要求事項を示す選択肢を選ぶ。
選択肢別の誤答解説
- ア: 暗号モジュールのセキュリティ要求事項を定めており正解
- イ: 情報セキュリティマネジメントシステムの要求事項はISO/IEC 27001などが該当し、FIPS 140-3ではない。
- ウ: デジタル証明書や証明書失効リストの技術仕様はX.509やCRLに関する規格であり、FIPS 140-3とは異なる。
- エ: 無線LANセキュリティの技術仕様はIEEE 802.11i(WPA2など)に関するもので、FIPS 140-3とは無関係。
補足コラム
FIPS PUB 140-3は2019年に発行され、従来のFIPS 140-2の後継規格です。暗号モジュールのセキュリティレベルは1から4まであり、レベルが上がるほど厳格なセキュリティ要件が課されます。これにより、暗号技術の安全性を客観的に評価できる仕組みが整っています。
FAQ
Q: FIPS PUB 140-3はどのような組織で使われていますか?
A: 主に政府機関や金融機関、セキュリティ製品の開発企業で利用され、暗号モジュールの安全性を保証するために用いられます。
A: 主に政府機関や金融機関、セキュリティ製品の開発企業で利用され、暗号モジュールの安全性を保証するために用いられます。
Q: FIPS 140-3とISO/IEC 27001の違いは何ですか?
A: FIPS 140-3は暗号モジュールの技術的なセキュリティ要件に特化し、ISO/IEC 27001は情報セキュリティマネジメントシステム全体の管理規格です。
A: FIPS 140-3は暗号モジュールの技術的なセキュリティ要件に特化し、ISO/IEC 27001は情報セキュリティマネジメントシステム全体の管理規格です。
関連キーワード: FIPS PUB 140-3, 暗号モジュール, セキュリティ要求事項, NIST, 暗号技術, セキュリティ認証