読み方：フィップスひゃくよんじゅう

FIPS 140【FIPS 140-1】FIPS 140-2/FIPS 140-3

概要

FIPS 140とは、米国政府が策定した標準規格の一つで、暗号モジュールに関するセキュリティ要件を規定したもの。情報システムで扱われる機密情報を保護するために、暗号化を行うハードウェアやソフトウェアが満たすべき技術的基準を定めている。

米国連邦政府が策定する連邦情報処理標準（FIPS：Federal Information Processing Standards）の一つで、暗号アルゴリズムを実装したハードウェアやソフトウェア、あるいはそれらを組み合わせたモジュールについて満たすべきセキュリティ要件を定義している。

暗号アルゴリズムそのものの安全性だけでなく、鍵管理の方法、物理的な耐タンパー性（解析のしにくさ）、自己テスト機能、役割に基づいた認証機能など、多角的な観点から製品の安全性を評価する。セキュリティレベルを「1」から「4」まで段階的に区分し、基本的な要件を要請するレベルから、物理的な侵入検知機構などを求める高度なレベルまで、用途に応じた評価が行われる。

米国立標準技術研究所（NIST）が管理しており、連邦政府機関が利用する暗号製品やシステムに対して適用される。政府機関だけでなく、金融や医療といった高い信頼性が求められる民間分野でも利用されており、国際的な基準の一つとしても参照されている。製品がFIPS 140に準拠しているか否かの評価は認定試験機関によって実施され、要件を満たした製品は認証を受けることができる。

初版の「FIPS 140-1」は1994年に策定され、2001年に改訂された「FIPS 140-2」がセキュリティ業界で広く参照されてきた。最新の「FIPS 140-3」は2019年に策定された。ISOとIECによって国際標準「ISO/IEC 19790」の仕様としても採用されており、その日本国内規格である「JIS X 19790」を通じて日本の「暗号モジュール試験及び認証制度」（JCMVP）にも影響を与えている。