Fireware のコモンクライテリアのサポート
アメリカ国家安全保障局 (NSA) の政府の機密データの保護に商用ソリューションを活用する (CSfC) プログラムは、機密情報を扱う用途に使用されるセキュリティ対応製品を認定します。NIAP (国家情報保証パートナーシップ) は、認定要件の保護プロファイルを定義しています。
Fireware OS は、NIAP によって承認された以下の保護プロファイルに対する認定を受けています:
- ネットワーク デバイス
- 仮想プライベート ネットワーク
- ファイアウォール
CSfC プログラムにおいて評価された Firebox モデル:
- Firebox T Series:T20、T35、T40、T55、T70、T80
- Firebox M Series:M270、M370、M470、M570、M670、M4600、M5600
必要な設定で構成され、承認された管理方法で管理されている場合、これらの Firebox モデルはコモンクライテリア認定の総合的な要件を満たします。
ここに挙げられていない Firebox モデルおよびリストされたモデルのワイヤレス バージョンは、コモンクライテリアに準拠していると認定されていません。
配備と構成の説明については、NIAP 準拠製品 ページにある 管理ガイド を参照してください。
CSfC モードについて
Firebox がコモンクライテリア要件に準拠するよう構成するには、Firebox で CSfC モードを有効にする必要があります。CSfC モードは Fireware v12.6.2 以降でサポートされています。
Firebox T35、T55 または T70 用に Fireware v12.6.2 をリクエストするには、[email protected] 宛にメールでご連絡ください。
CSfC モードを有効にすると、Fireware にはいくつかの機能上の違いが生じます:
起動時の整合性チェック
起動時に、Firebox は必要とされる整合性チェックを実行します。チェックに失敗すると Firebox はただちにシャットダウンし、すべてのインターフェイスが無効になります。
整合性チェックをアップグレードする
Firebox をアップグレードすると、Firebox はアップグレード イメージの署名を、Firebox に既にインストールされているキーと照合します。署名チェックに失敗すると、Firebox はアップグレードを拒否します。
TLS v1.3 は無効
TLS v1.3 は既定で無効になっています。TLS v1.3 はまだ連邦政府により認定されていません。
CSfC モードを有効化する
Firebox で CSfC モードを有効化するには、Fireware Command Line Interface (CLI) を使用する必要があります。CSfC モードを有効化すると、Firebox は直ちに再起動し、必要な整合性チェックを実行します。
CSfC に使用する CLI コマンド:
- CSfC モードを有効化するには、CLI コマンド csfc enable を入力します。
- CSfC モードを無効化するには、CLI コマンド no csfc enable を入力します。
- CSfC モードが有効化されているかどうかを確認するには、CLI コマンド show csfc を入力します。
CLI コマンドの詳細については、https://www.watchguard.com/help/documentation にある Command Line Interface リファレンス を参照してください。
承認された管理方法
コモンクライテリア要件に準拠するよう Firebox を構成し管理するには、次の管理インターフェイスのみを使用する必要があります:
- (Fireware Web UI のみ)
- シリアル管理ポートへの直接接続からの Fireware Command Line Interface (CLI) (ssh は承認された管理方法ではありません)
Firebox を CSfC モードで使用する場合、デバイスの使用に関してこれらの制限が課せられます。Firebox を CSfC モードで動作させる前に、組織内の要件を慎重に検討されることをお勧めします。環境によっては、CSfC に準拠したデバイスを使用することが要求されても、デバイスを CSfC に準拠して構成する必要がない場合があります。