Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

FIPS 動作モードにおけるシステム データクリアのゼロ化について

ゼロ化により、SSH、ローカル暗号化、ローカル認証、IPsec用のすべてのプレーンテキストパスワード、シークレット、プライベートキーなど、デバイス上のすべての設定情報が完全に消去されます。FIPS モードを終了するには、デバイスをゼロにする必要があります。

この暗号化モジュールは、承認されていない暗号化アルゴリズムをサポートする、承認されていない運用モードを提供します。承認されていない運用モードから承認された運用モードに移行する場合、暗号化オフィサーは、承認されていないモードの重要なセキュリティ パラメーター(CSP)をゼロにする必要があります。暗号オフィサーは、FIPS の動作モードを有効にした後、 request system zeroize CLI から操作コマンドを入力してゼロ化プロセスを開始します。このコマンドの使用は、暗号責任者に制限されています。

注意:

システムのゼロ化は注意して実行してください。ゼロ化プロセスが完了すると、デバイスにデータは残りません。このコマンドは、デバイス上のすべての CSP と設定を消去します。

ゼロ化には時間がかかります。すべての設定は数秒で削除されますが、ゼロ化プロセスはすべてのメディアに上書きされ、メディアのサイズに応じてかなりの時間がかかる場合があります。

ゼロ化を行う理由

デバイスが FIPS の動作モードにある間、すべての CSP が入力または再入力されるまで、デバイスは有効な FIPS 暗号化モジュールとは見なされません。

ベスト プラクティス:

FIPS 140-2 に準拠するには、デバイスをゼロサイズして FIPS モードを終了することをお勧めします。

ゼロ化を行うのはいつですか?

暗号化オフィサーとして、以下の状況でゼロ化を実行します。

  • FIPS 動作の前 — デバイスを FIPS 暗号化モジュールとして動作させる場合は、ゼロ化を実行して非承認モードの重要なセキュリティー パラメーター(CSP)を削除し、デバイスで FIPS モードを有効にします。

  • FIPS 以外の動作を行う前に — デバイスの非 FIPS 運用向けの再利用を開始するには、デバイスでの FIPS 動作モードを無効にする前、または FIPS 動作モードが含まれていない Junos OS パッケージを読み込む前にゼロ化を実行してください。

    メモ:

    ジュニパーネットワークスは、FIPS の動作モードでの非 FIPS ソフトウェアのインストールをサポートしていませんが、特定のテスト環境でインストールする必要がある場合があります。最初にシステムをゼロにしてください。

  • 改ざん防止されたシールが妨げられるとき—保護されていないポートのシールが改ざんされている場合、システムは侵害されたと見なされます。適切な場所に新しい改ざん防止シールを適用した後、システムをゼロにして新しいパスワードと CSP を設定します。

関連ドキュメント