Rational DOORS Web Access での NIST SP 800-131A 準拠の構成

Rational® DOORS® Web Access が、米国連邦情報・技術局 (NIST) の Special Publication (SP) 800-131A 標準に準拠して、セキュア・ソケット上で通信するよう構成できます。この標準は、セキュリティー強化のために使用するアルゴリズムと、そのアルゴリズムに必要な最小暗号強度を指定します。

始める前に

Rational DOORS Web Access が FIPS 140-2 に準拠するよう構成します

このタスクについて

Rational DOORS Web Access が SP 800-131A に準拠するよう構成するには、必要な最小暗号強度を満たしていない証明書による要求を拒否するよう Apache Tomcat サーバーの構成値を変更します。FIPS 140-2 に準拠したセキュリティー・プロバイダーを使用し、 SP 800-131A モードで稼働するようシステム・プロパティーを構成する必要があります。この構成により、適切なプロトコルと暗号スイートを使用できるように なります。

厳密な準拠の場合、鍵強度と署名アルゴリズムも検証されます。厳密な準拠では、TLS 1.2 プロトコルのみが許可されます。SP 800-131A が指定されている場合、証明書、鍵、およびセキュアな乱数発生ルーチンがすべて SP 800-131A に準拠していることを確認する必要があります。

重要: TLS 1.2 プロトコルを指定する場合は、ベンダーの資料を参照して、ご使用のブラウザーがこのバージョンをサポートしているかどうかを確認してください。
Rational DOORS Web Access が NIST SP 800-131A に準拠するよう構成するには、以下を実行します。
  • SP 800-131A モードを指定するシステム・プロパティーを設定します。
  • 特定のプロトコルや暗号スイートのみを受け入れるよう、Apache Tomcat サーバーの構成を変更します。
  • 暗号鍵が最小鍵強度 112 ビットを満たしていることを確認します。
  • デジタル署名が最小の SHA2 であることを確認します。

手順

  1. Apache Tomcat 始動スクリプト・ファイルをエディターで開きます。
    • Windows システムでは、server.start.bat スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1。ファイル下部付近の Dcom.ibm.jsse2.usefipsprovider の項目の後ろに、Dcom.ibm.jsse2.sp800-131set JAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%¥bin
      call ".¥startup.bat"
    • UNIX システムでは、server.start.sh スクリプト・ファイルは、Rational DOORS Web Access インストール・ディレクトリーにあります。項目 JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true の後ろに、 Dcom.ibm.jsse2.sp800-131JAVA_OPTS 項目を追加します。 その後、項目が以下のようになっているのを確認します。ここで、com.ibm.jsse2.sp800-131 は、 transition か strict のいずれかに設定できます。
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    厳密な準拠の場合、鍵強度と署名アルゴリズムも検証されます。厳密な準拠では、TLS 1.2 プロトコルのみが許可されます。SP 800-131A が指定されている場合、証明書、鍵、およびセキュアな乱数発生ルーチンがすべて SP 800-131A に準拠していることを確認する必要があります。

    移行は、SP 800-131A で定義されている移行期間 (現在の日付から 2013 年の最終日まで) に行われます。移行期間は、新しい最小暗号化要件にアップグレード可能な猶予期間です。

  2. ファイルを保存して閉じます。
  3. Apache Tomcat server.xml ファイルをエディターで開きます。 このファイルは、Rational DOORS Web Access インストールの server/conf ディレクトリーにあります。例: C:¥Program Files (x86)¥IBM¥Rational¥DOORS Web Access¥1.5.0.1¥server¥conf
  4. sslProtocol の値を最小の TLS バージョンに設定します。 このバージョンは、com.ibm.jsse2.sp800-131 システム・プロパティーの値によって決定される値に基づいています。例:
    sslProtocol="TLSv1.2"
  5. 暗号スイートを SP 800-131A 準拠の暗号に設定します。例:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Secure Sockets Layer (SSL) が、SP 800-131A で承認された暗号スイートのみを使用するよう構成されていることを確認してください。暗号スイートのリストについては、以下の関連情報のリンクの『IBM® JSSE2 暗号スイート』を参照してください。

次のタスク

クライアントのブラウザーを、最小の TLS バージョンをサポートするブラウザーに更新します。 server.xml ファイルにある sslProtocol プロパティーに指定された値により、最小の TLS バージョンが決まります。

クライアントとサーバーの証明書 (ルート証明書と中間証明書を含む) が、 この手順で定義されているとおり、112 ビット以上で、適切に署名されていることを確認してください。鍵ストア内の鍵と、 トラストストア内の信頼証明書を確認してください。

データベース・サーバーおよびクライアントでの NIST SP 800-131A 準拠の構成』を参照してください。


フィードバック