ssc の fips 140-2 レベル 1 準拠に関する検証 - cisco ......ssc の fips 140-2 レベル...

C H A P T E R

7-1Cisco Secure Services Client アドミニストレータガイド

OL-15540-01-J

7SSC の FIPS 140-2 レベル 1 準拠に関する検証

この章は、次の項で構成されています。

• 概要（P. 7-1）

• 3eTI の FIPS 認定 Crypto Kernel Library（CKL）（P. 7-2）

• 3eTI 製ドライバのインストール方法（P. 7-3）

• FIPS 140-2 レベル 1 準拠の展開例（P. 7-15）

• SSC および 3eTI ドライバインストーラソフトウェアの入手方法（P. 7-35）

概要米国政府機関およびカナダ政府機関では、暗号モジュールを含む IT 製品を購入する場合に、Federal

Information Processing Standards Publication（FIPS）140-2 の要件に適合することが求められています。

本リリースの SSC は、FIPS 140-2 レベル 1 モジュールをサポートし（現在、National Institute of

Standards and Technology（NIST; 米国国立標準技術研究所）で検証中）、FIPS 準拠の IEEE 802.1i

（WPA2）セキュリティのサポートを提供します。

管理者は、企業の従業員に対して、次のいずれかの操作を許可できます。

• FIPS 準拠のネットワークだけに接続する。

• 他の、FIPS 準拠でないネットワークに接続する。

そのためには、SSC スキーマのポリシーセクションで、許可されるアソシエーションモードと暗

号モード、および認証方式を制限します。

SSC FIPS モジュールは、FIPS 承認の AES 暗号モジュールをサポートします。たとえば、WPA2

Personal（WPA2-PSK）、WPA2 Enterprise（802.1X）などです。また、EAP-TLS、EAP-PEAP、EAP-FAST

などの、EAP 方式もサポートします。管理者は、SSC 5.1 を使用することによって、FIPS 準拠の

WLAN プロファイルをサポートできるだけでなく、任意で、FIPS 非準拠の構成（クライアント VPN

セキュリティが有効になっている Wi-Fi ホットスポットへのアクセスなど）もサポートできます。

管理者は、プロファイルを適切に命名して、ネットワークが FIPS 対応かどうかを示す責任があり

ます。

FIPS に完全に準拠したソリューションには、次の 3 つのコンポーネントが必要です。

• FIPS モジュールを備えた SSC 5.1

• 3eTL の FIPS 認定 Crypto Kernel Library（CKL）と、サポートされている NIC アダプタドライバ

• ネットワーク管理者が作成した、FIPS 準拠のネットワークプロファイル設定

第 7 章 SSC の FIPS 140-2 レベル 1 準拠に関する検証

3eTI の FIPS 認定 Crypto Kernel Library（CKL）


OL-15540-01-J

3eTI の FIPS 認定 Crypto Kernel Library（CKL）3eTI の FIPS 認定 CKL は、次の NIC アダプタチップセットをサポートします。

• Intel 2100、2200、2915、および 3945 チップセット

• Broadcom：バージョン 4.100.27.0 以上のドライバをサポートする、すべての BCM 43xx チップ

セット

• Atheros PCI チップセットが使用された NIC アダプタ（Cisco AIR-CB21 無線クライアントアダ

プタカードなど）

• Atheros：5001、5004、5005、AR5211、および AR5212 チップセット

FIPS 統合

ネットワーク管理者は、ソリューションを確実に FIPS に準拠させるため、FIPS 準拠の EAP または

WPA2-Personal（事前共有キー）による、AES 暗号を使用した WPA2 ハンドシェイクだけを許可す

るネットワークプロファイルを設定する必要があります。

SSC Log Packager ユーティリティは、3eTI パケットのログを収集します。

3eTI CKL ドライバのインストーラ

FIPS による検証済みの 3eTI CKL とサポートされているドライバのインストール方法については、

「3eTI 製ドライバのインストール方法」の項（P.7-3）を参照してください。

FIPS 関連情報

FIPS の詳細は、「FIPS 140-2 レベル 1 準拠の展開例」の項（P.7-15）および「FIPS 用の単一ユーザ

アカウントの設定」の項（P.C-1）を参照してください。


3eTI 製ドライバのインストール方法


OL-15540-01-J

3eTI 製ドライバのインストール方法ここでは、SSC と統合して完全な FIPS ソリューションを提供するための、FIPS による検証済みの

3eTI CKL とサポートされているドライバのインストール手順を説明します。

重要な注意事項

1. 3eTI CKL ドライバのインストーラは、3eTI の無線ドライバが常に 1 つだけシステムにインス

トールされるように設計されています。タイプが異なるドライバをインストールする前に、以

前のドライバをアンインストールする必要があります。既存のドライバと同じタイプのドライ

バをインストールする場合は、既存のドライバがアップデートされるので、アンインストール

は不要です。

2. ハードウェアが存在し、システムにインストールされている場合は、インストーラにより、対

応する OEM の無線 NIC アダプタドライバが、3eTI CKL をサポートする 3eTI の修正済みドラ

イバにアップデートされます。

3eTI CKL ドライバのインストーラの概要

3eTI CKL ドライバのインストーラは、次のいずれかの方法で開始できます。

• .exe ファイルをダブルクリック：インストーラの実行前に PC に NIC アダプタがインストール

されている、ドライバの通常インストールを実行する場合だけに使用可能

• コマンドラインオプションを指定せずにインストーラのコマンドを使用：ドライバの通常イ

ンストールを実行する場合だけに使用可能

• コマンドラインオプションを指定してインストーラのコマンドを使用：ドライバの通常イン

ストールおよび事前インストールを実行する場合に使用可能

.exe ファイルをダブルクリックするか、コマンドラインオプションを指定せずにコマンドを実行

してドライバのインストーラを起動すると、次の処理が実行されます。

• 3eTI CKL とサポートされている NIC アダプタドライバを検出およびインストールして、それ

らが FIPS に規定されているとおりに動作するようにします。

• 3eTI CKL をサポートする NIC アダプタが複数検出された場合、ユーザはアダプタを選択する

ように要求されます。

• 互換性のある NIC アダプタが PC 上に見つからない場合は、インストールが中止されて、次の

エラーメッセージが表示されます。

The installer cannot auto-detect a NIC chipset to provide FIPS support. To enforce a pre-installation, youare required to run the installer using the command line. For instructions or further assistance, pleasecontact your network administrator.

（注）事前インストールのシナリオでは、ネットワーク管理者が個別にインストールオプ

ションを指定できるコマンドラインオプションを使用するのが最適です。通常、事前

インストールは、初心者のユーザではなく、ネットワーク管理者によって実行されます。

インストーラのコマンドおよびコマンドラインオプション

インストーラでは、次のコマンドおよびコマンドラインオプションを使用できます。

3eTI-drv-installer.exe –s –auto Type= XXXX

各オプションの意味は、次のとおりです。




OL-15540-01-J

（注） s オプションを使用してサイレントインストールを実行する場合は、auto と Type=XXXX のいずれ

か、またはその両方のオプションを指定する必要があります。

例：

• s オプションと auto オプションを組み合わせて使用する場合は、次のようにインストールが実

行されます。

－インストールされている NIC アダプタが自動的に検出され、インテリジェントインストー

ルが実行されます。

－ユーザに何もメッセージを表示せずに、サイレントインストールが実行されます。

－複数の NIC アダプタが検出された場合は、サポートされている任意のチップセットが選択

されます。

• auto オプションと Type=XXXX オプションを組み合わせて使用する場合は、次のようにインス

トールが実行されます。

－ Type=XXXX で指定された NIC アダプタチップセット用のドライバのインストールが試行

されます。

－検出された NIC アダプタが指定されたチップセットをサポートしていない場合は、サポー

トされているチップセットを備えた任意の NIC アダプタ用のドライバがインストールさ

れます。

s ユーザに何もメッセージを表示せずに、サイレントインストールを実行します。

auto インテリジェントインストールを実行します。インストーラによって PC 内のサポー

トされている NIC が調べられ、適切なドライバがインストールされます。それによっ

て、コマンドラインオプションを指定せずにコマンドを入力した場合と同様の操作

が実行されます。

Type=XXXX NIC アダプタチップセットの事前インストールまたは通常インストールを指定しま

す。

事前インストールでは、規定の NIC アダプタが PC にインストールされる前にドラ

イバがインストールされます。

通常インストールでは、NIC アダプタがインストールされた状態でドライバがイン

ストールされます。

XXXX の値説明

Intel3945 Intel3945 チップセット用のドライバを指定します。

Centrino Intel 2100、l2200、および 2915 チップセット用のドライバを指定しま

す。

Broadcom インストーラがサポートする Broadcom チップセット用のドライバを

指定します。

Atheros Atheros 5001、5004、5005、AR5211、および AR5212 チップセット用

のドライバを指定します。

Cisco Cisco AIR-CB21 カードおよび Atheros チップセット用のドライバを指

定します。




OL-15540-01-J

• 3eTI-drv-installer.exe Type=Intel3945 –auto –s と指定した場合は、次のようにインストールが実行

されます。

－ Intel3945 チップセット用のドライバのインストールが試行されます。ユーザには何もメッ

セージが表示されません。

－ Intel3945 チップセット備えた NIC アダプタが検出されない場合は、検出された他の NIC アダプタのうち、サポートされているチップセットを備えたものについて、ドライバのサイ

レントインストールが実行されます。

－サポートされているチップセットを備えた NIC アダプタが検出されない場合は、ドライ

バの事前インストールが実行されません。

• 3eTI-drv-installer.exe Type=Intel3945 –s と指定した場合は、次のようにインストールが実行され

ます。

－ Intel3945 チップセット用のドライバのインストールが試行されます。ユーザには何もメッ

セージが表示されません。

－サポートされている NIC アダプタチップセットが検出されない場合は、事前インストール

が実行され、指定されたチップセットドライバがインストールされます。

コマンドラインオプションを使用しないインストーラの実行

NIC アダプタが PC にインストールされた状態で通常インストールを実行する手順は、次のとおり

です。

ステップ 1 次のいずれかの手順を実行してインストーラを起動します。

a. Windows エクスプローラを使用して PC 上の 3eTI-drv-installer.exe ファイルを探し、ファイル

名をダブルクリックします。

b. Start > Run の順にクリックし、次のとおりに、インストーラの実行コマンドを入力します。

path / 3eTI-drv-installer.exe

path は、インストーラのファイルへのディレクトリパスです。

図 7-1 の画面が表示されます。

図 7-1 ドライバのインストール開始ウィンドウ




OL-15540-01-J

ステップ 2 Next をクリックすると、ライセンス契約が表示されます（図 7-2 を参照）。

図 7-2 ライセンス契約

ステップ 3 ライセンス契約を読んで同意し、Next をクリックすると、図 7-3 の画面が表示されます。

図 7-3 インストール先選択ウィンドウ

ステップ 4 ドライバソフトウェアのデフォルトのインストール先フォルダを使用するか、Browse をクリック

してインストール先フォルダを選択します。




OL-15540-01-J

ステップ 5 Next をクリックすると、図 7-4 の画面が表示されます。

図 7-4 インストール準備完了ウィンドウ

ステップ 6 Install をクリックすると、インストールプロセスが開始されます。インストールが完了すると、図

7-5 の画面が表示されます。

図 7-5 ウィザード完了ウィンドウ

ステップ 7 Finish をクリックします。




OL-15540-01-J

以前の 3eTI ドライバソフトウェアのアンインストール

以前の 3eTI ドライバソフトウェアをアンインストールする手順は、次のとおりです。

ステップ 1 以前の 3eTI ドライバソフトウェアをアンインストールするには、Start > Settings > Control Panel >

Add or Remove Programs の順にクリックします。

ステップ 2 3eTI ドライバソフトウェア（3e-010F-3 など）を選択し、Remove をクリックします。ポップアッ

プウィンドウが表示されます（図 7-6 を参照）。

図 7-6 ドライバソフトウェアのアンインストールポップアップ

ステップ 3 ドライバソフトウェアをアンインストールするには、Yes をクリックします。図 7-7 の画面が表示

されます。

図 7-7 コンピュータの再起動ウィンドウ

ステップ 4 コンピュータをすぐに再起動するには、Yes を選択します。

ステップ 5 Finish をクリックします。PC が再起動し、ドライバソフトウェアが完全に削除されます。




OL-15540-01-J

エンタープライズ展開の場合のドライバのサイレントインストール

サイレントモードでインストーラを実行する手順は、次のとおりです。

ステップ 1 次のコマンドを入力してインストーラを実行します。

path / 3eTI-drv-installer.exe - s Type=XXXX


path はインストーラファイルへのディレクトリパスです。

- s はサイレントインストールが実行されることを示します。

Type= XXXX には、Centrino、Intel3945、Cisco などのチップセットを指定します（「インストー

ラのコマンドおよびコマンドラインオプション」の項（P.7-3）を参照）。

ポップアップステータスウィンドウにドライバのインストールの進行状況が表示され、インス

トールが完了すると表示が消えます。

ネットワークアダプタが事前にインストールされていない場合のドライバのインストール

NIC アダプタがインストールされていない状態で PC に 3eTI ドライバを事前インストールする手順

は、次のとおりです。

ステップ 1 Start > Run の順にクリックして次のインストーラ実行コマンドを入力し、インストーラを起動しま

す。

path / 3eTI-drv-installer.exe Type = XXXX


path はインストーラファイルへのディレクトリパスです。

Type= XXXX には、Centrino、Intel3945、Cisco などのチップセットを指定します（「インストー

ラのコマンドおよびコマンドラインオプション」の項（P.7-3）を参照）。


ステップ 2 「コマンドラインオプションを使用しないインストーラの実行」の項（P.7-5）のステップ 2 からス

テップ 7 を実行します。

ステップ 3 ドライバのインストールが完了したら、NIC アダプタを PC に挿入またはインストールします。

3eTI ドライバソフトウェアの手動アップグレード

手動アップグレードの手順は、ドライバのインストールに関する問題のトラブルシューティングで

役立ちます。エンタープライズ展開時にこの手順を実行することは、想定されていません。

Windows のデバイスマネージャを使用して 3eTI ドライバソフトウェアを手動でアップグレードす

る手順は、次のとおりです。




OL-15540-01-J

ステップ 1 デスクトップの My Computer アイコンを右クリックし、Properties を選択します。

ステップ 2 System Properties ウィンドウの Hardware をクリックして Device Manager をクリックすると、図 7-8

の画面が表示されます。

図 7-8 Windows の Device Manager ウィンドウ

ステップ 3 ネットワークアダプタがインストールまたは挿入されていてもドライバソフトウェアがインス

トールされていない場合は、デバイスが Other devices の下に黄色のクエスチョンマーク付きで表示

されます。ネットワークアダプタを右クリックして、Properties を選択します。Network Properties

ウィンドウが表示されます（図 7-9 を参照）。




OL-15540-01-J

図 7-9 Network Controller Properties ウィンドウ

ステップ 4 Driver > Update Driver の順にクリックすると、図 7-10 の画面が表示されます。

図 7-10 Windows の Hardware Update Wizard ウィンドウ




OL-15540-01-J

ステップ 5 Windows でドライバソフトウェアが検索されないようにするには、No をクリックします。Next を

クリックすると、図 7-11 の画面が表示されます。

図 7-11 インストール CD またはフロッピーディスクからのインストール方法の選択ウィンドウ

ステップ 6 Install from a list or specific location (Advanced) を選択して、Next をクリックします。図 7-12 の画

面が表示されます。

図 7-12 ドライバの検索およびインストールオプションウィンドウ




OL-15540-01-J

ステップ 7 Don’t search. I will choose the driver to install を選択して Next をクリックします。図 7-13 の画面が

表示されます。

図 7-13 Windows の Hardware Type ウィンドウ

ステップ 8 Network adapter を選択して Next をクリックします。図 7-14 の画面が表示されます。

図 7-14 Select Network Adapter ウィンドウ




OL-15540-01-J

ステップ 9 3eTI ネットワーク接続を選択して Next をクリックします。図 7-15 の画面が表示されます。

図 7-15 インストール完了ウィンドウ

ステップ 10 ハードウェアドライバのインストールは完了です。Finish をクリックします。Device Manager ウィ

ンドウがもう一度表示されます（図 7-16 を参照）。

図 7-16 更新された Windows の Device Manager ウィンドウ


FIPS 140-2 レベル 1 準拠の展開例


OL-15540-01-J

ステップ 11 ドライバが正しくインストールされたことを確認するには、3eTI ネットワーク接続を右クリックし

て Properties を選択します。アダプタのプロパティウィンドウで、Device status に This device is

working properly と表示されていることを確認します。

FIPS 140-2 レベル 1 準拠の展開例ここでは、展開例に基づいて、SSC の一般的なネットワーク認証プロファイルを FIPS 140-2 レベル

1 の要件に適合するように設定する方法を説明します。SSC 5.1.0 は、Cisco SSC FIPS モジュールを

サポートする最初のリリースであり、現在 National Institute of Standards and Technology（NIST）で

検証中です。サービスは、開始されると、FIPS オペレーティングモードで実行されます。

ネットワーク管理者は、そのネットワークを使用するユーザに対して、FIPS 準拠プロファイルを設

定および展開する責任があります。SSC Management Utility を使用して、有線または無線メディアの

FIPS 準拠プロファイルを作成します。

ソリューションを FIPS に完全に準拠させるには、次の 3 つのコンポーネントをクライアントにイ

ンストールおよび設定する必要があります。

1. SSC FIPS モジュールを実行する SSC（SSC 5.1）

2. ネットワーク管理者により設定された FIPS 準拠のネットワークプロファイル

3. 3eTI FIPS CKL モジュールおよびサポートされている NIC アダプタドライバ

ネットワーク管理者の PC に SSC および管理ツールキットソフトウェアがインストールされ、実行

されると、SSC は使用可能な無線ネットワークをスキャンして使用可能なネットワークを表示しま

す。

（注） SSID がブロードキャストに対して有効になっている無線ネットワークだけが検出されます。

ネットワーク管理者またはユーザは、太字で表示された設定済みの接続（図 7-17 を参照）について

のみプロファイルを設定できます。ネットワーク管理者によって設定されたプロファイルは永続的

なものであり、ユーザが削除または編集することはできません。




OL-15540-01-J

図 7-17 一般的な Cisco SSC ウィンドウ

一般的な SSC プロファイルを FIPS に準拠するように設定する手順は、次のとおりです。

ステップ 1 管理ツールキットがインストールされているディレクトリに移動し、sscManagementUtility.exe を

ダブルクリックします。図 7-18 の画面が表示されます。

図 7-18 _Cisco SSC Management Utility のメインウィンドウ




OL-15540-01-J

ステップ 2 新しい設定プロファイルを作成する場合は、Create New Configuration Profile をクリックします。

すると、図 7-19 の画面が表示されます。

図 7-19 Select Cisco SSC Version ウィンドウ

ステップ 3 Cisco SSC 5.1 をクリックすると、図 7-20 の画面が表示されます。

図 7-20 Client Policy ウィンドウ




OL-15540-01-J

メディアを設定できるようにするには、Allowed Media 領域で、必要なオプション（Allow Wired

(802.3) Media など）がすべてオンになっていることを確認します。

ステップ 4 次の手順を実行します。

a. Allow Wi-Fi (wireless) Media をオンにします。

b. Allow Wired (802.3) Media をオンにします。

c. ライセンスが使用可能であれば、Provide License をオンにしてライセンスを入力します。

d. PC に VPN がインストールされていて、企業ネットワークインフラストラクチャでサポートさ

れている場合は、Allow VPN をオンにします。ネットワークで使用されている VPNAuthentication Mechanism を選択します。

e. Enable validation of WPA/WPA2 handshake をオンにします。このオプションは、FIPS に準拠

するために有効にされます。

（注）このオプションをオンにすると、一部のネットワークアダプタドライバが正しく機能

しなくなる可能性があります。

f. Next をクリックすると図 7-21 の画面が表示されます。

図 7-21 Authentication Policy ウィンドウ




OL-15540-01-J

ステップ 5 ネットワークで許可されている適切なアソシエーションモードおよび認証モードをオンにして

Next をクリックすると、図 7-22 の画面が表示されます。

SSC は、FIPS 準拠プロファイルと FIPS 非準拠プロファイルの両方をサポートするように設定でき

ます。FIPS 準拠プロファイルには、WPA2 Personal AES や WPA2 Enterprise AES などがあります。

WPA2 Enterprise AES でサポートされる EAP には、EAP TLS、PEAP、および EAP Fast などの種類

のものがあります。

図 7-22 Networks ウィンドウ




OL-15540-01-J

ステップ 6 Add Network をクリックします。最初に作成するネットワークは、有線ネットワークです。そのた

め、SSC では接続が一度に 1 つに制限されます。図 7-23 の画面が表示されます。

図 7-23 Network Media ウィンドウ




OL-15540-01-J

ステップ 7 Wired (802/3) Network を選択して Next をクリックすると、図 7-24 の画面が表示されます。

図 7-24 Wired Network Settings ウィンドウ

ステップ 8 Display Name フィールドに Wired と入力し、Open Network を選択します。

ステップ 9 Next をクリックすると図 7-25 の画面が表示されます。




OL-15540-01-J

図 7-25 Network Connection Type ウィンドウ

ステップ 10 User Connection を選択して Finish をクリックします。これで、有線の非認証ポートを設定できま

した。次は、FIPS 準拠の無線認証プロファイルを設定するために必要な操作を行います。


図 7-26 Networks ウィンドウ




OL-15540-01-J

図 7-26 では、有線ネットワークが設定済みとして表示されています。

ステップ 11 Add Network をクリックすると、図 7-27 の画面が表示されます。

図 7-27 Network Media ウィンドウ




OL-15540-01-J

ステップ 12 Wi-Fi (wireless) Network を選択して Next をクリックすると、図 7-28 の画面が表示されます。

図 7-28 Wi-Fi Network Settings ウィンドウ

（注）一部のスマートカード認証システムでは、認証が完了するまでに 60 秒近くかかる場合があります。

スマートカードを使用する場合は、Connection Timeout の値を大きくする必要があります。


a. プロファイルの Display Name を入力します。ネットワーク管理者が表示名を設定する場合は、

FIPS を追加するなど、FIPS 準拠であることがわかるようにすることを推奨します（図 7-28 を参照）。このプロファイル ID は、この管理者展開プロファイルを使用して接続した場合に、ネッ

トワーク認証プロファイルが FIPS 要件に適合することを示しています。

b. SSID フィールドに SSID の値を入力します。SSID は、有効な企業 SSID に設定します。SSID の値は、大文字と小文字が区別されます。

c. Association Timeout を、デフォルトの 3 秒から 8 ～ 10 秒に変更します。

（注） Cisco AIR-CB21 クライアントアダプタはこの値の影響をあまり受けませんが、その他

の無線クライアントアダプタ（Intel 3945 など）の場合は、アソシエーションのタイム

アウト値を大きくする必要があります。

d. Next をクリックします。




OL-15540-01-J

ステップ 14 CCX Settings ウィンドウが表示されたら、設定を無視して Next をクリックします。図 7-29 の画面

が表示されます。

（注） CCX Settings ウィンドウのオプションは、Windows XP または Windows 2000 環境には適用

されません。

図 7-29 Connection Settings ウィンドウ

ステップ 15 Association Mode ドロップダウン矢印をクリックして WPA2 Enterprise (AES) を選択します。

ステップ 16 802.1X を設定する場合、シスコでは、802.1X のデフォルト設定を使用することを推奨しています。

この設定は、さまざまな無線環境および有線認証プロファイル用に最適化されています。この他の

設定値も使用できますが、動作が最適化されない場合があります。





OL-15540-01-J

図 7-30 Network Connection Type ウィンドウ

3 つのオプションのうちどれを選択しても FIPS 準拠となります。

ステップ 18 この例では、User Connection を選択して Next をクリックします。図 7-31 の画面が表示されます。




OL-15540-01-J

図 7-31 User Authentication (EAP) Method ウィンドウ

ステップ 19 次のいずれかの EAP 方式を選択し、それぞれの方式に応じた手順を実行します。

• EAP-TLS を選択して Next をクリックします。ステップ 20 に進みます。

• PEAP を選択して Next をクリックします。ステップ 21 に進みます。

• EAP-Fast を選択して Next をクリックします。ステップ 22 に進みます。

ステップ 20 EAP-TLS を選択した場合は、図 7-32 の画面が表示されます。次の手順を実行します。

図 7-32 EAP-TLS Settings ウィンドウ




OL-15540-01-J

a. FIPS 準拠プロファイルでは、Validate Server Certificate をオンにします。

スマートカードを使用する場合は、次の 2 とおりの典型的な使用方法が考えられます。

• スマートカードを再認証するたびに、スマートカードを挿入する必要がある。

• 最初の認証時にはスマートカードを挿入する必要があるが、その後スマートカードを取り出す

ことができて、ユーザがログアウトするときにだけ再挿入する必要がある。

どちらの使用方法も FIPS 準拠プロファイルに適合しています。

b. OK をクリックします。User Authentication (EAP) Method ウィンドウが表示されます。

c. User Authentication (EAP) Method ウィンドウで Next をクリックし、ステップ 23 に進みます。

ステップ 21 PEAP を選択した場合は、図 7-33 の画面が表示されます。

図 7-33 PEAP Settings ウィンドウ

FIPS 準拠プロファイルの場合、ユーザは次の手順を実行する必要があります。

a. Validate Server Identity をオンにします。

b. OK をクリックすると、User Authentication (EAP) Method ウィンドウがもう一度表示されます。





OL-15540-01-J

ステップ 22 EAP-Fast を選択した場合は、図 7-34 の画面が表示されます。

図 7-34 EAP-Fast Settings ウィンドウ

FIPS 準拠プロファイルの場合、ユーザは次の手順を実行する必要があります。

a. Validate Server Identity をオンにします。

b. OK をクリックすると、User Authentication (EAP) Method ウィンドウがもう一度表示されます。





OL-15540-01-J

ステップ 23 Validate Server Identity がオンになっている場合は、図 7-35 の画面が表示されます。

図 7-35 Certificate Trusted Server Validation Rules ウィンドウ

ステップ 24 任意で、次の手順を実行してサーバ検証規則を定義します。

a. Add Rule をクリックします。

b. ドロップダウン矢印をクリックして、必要なオプションを選択します。

c. Value フィールドに値を入力します。

（注） Remove をクリックして規則を削除します。

d. 完了したら Next をクリックします。図 7-36 の画面が表示されます。

証明書規則を作成しない場合でも、FIPS に適合するように、次の検証が暗黙的に実行されます。

• 受信したサーバ証明書が期限切れでない。

• サーバ証明書チェーンが有効である。

• サーバ証明書チェーンのルートノードが信頼できる。




OL-15540-01-J

図 7-36 信頼できるサーバ認証局の検証ウィンドウ

ステップ 25 デフォルト設定を使用するか、その他のオプションを選択します。Next をクリックすると図 7-37

の画面が表示されます。




OL-15540-01-J

図 7-37 クレデンシャルウィンドウ


a. Unprotected Identity Pattern フィールドにユーザ名を入力します。

b. 次のオプションのいずれか 1 つを選択します。

－ Single Sign On Credentials

－ Prompt for Credentials

－ Use Static Credentials

c. Prompt for Credentials を使用する場合は、次のオプションのいずれか 1 つを選択します。

－ Never Remember

－ Remember while the User is Logged On

FIPS 準拠の場合に選択できるのは、Never Remember および Remember while the User is LoggedOn だけです。セキュリティ上重要な関連パラメータはすべて安全に扱われ、不要になるとク

リアされます。

（注） Single Sign On および Use Static Credentials は、FIPS 対応モードで使用できます。

d. Finish をクリックすると図 7-38 の画面が表示されます。




OL-15540-01-J

図 7-38 Configured Networks ウィンドウ

このウィンドウには、このプロファイルに対して作成されているネットワークが一覧表示されま

す。


図 7-39 Validation ウィンドウ




OL-15540-01-J

管理者は、このウィンドウを使用して、設定 XML を表示したり、暗号ファイルに設定を保存して

展開したりできます。また、管理者は、非暗号ファイルを保存して確認することもできますが、こ

のファイルは展開されません。


a. デフォルトの暗号設定ファイルの保存場所を使用するか、Browse をクリックして別のフォルダ

を指定します。

b. 任意で、Save Original Configuration File の選択を解除します。

c. Finish をクリックします。

これで設定は完了です。SSC メインウィンドウを開くと（図 7-40 を参照）、接続のリストに新規

Enterprise-ssid （FIPS compliant profile）が追加されています。

図 7-40 Available Connections ウィンドウ

図 7-40 では、Enterprise-ssid プロファイルが FIPS 準拠プロファイルであることがすぐにわかります。

このプロファイルについては削除ボタンが無効になっているので、ユーザはこのプロファイルを削

除できません。また、Edit ボタンをクリックした場合、管理者が設定したクレデンシャル設定はす

べてグレー表示されます。ユーザが設定可能なオプションは、アクセスポイントとクライアント

PC の間の FIPS 準拠ネットワークで自動的に VPN 接続を開始するオプションだけです。


SSC および 3eTI ドライバインストーラソフトウェアの入手方法


OL-15540-01-J

SSC および 3eTI ドライバインストーラソフトウェアの入手方法SSC 5.1.0 ソフトウェアは、Cisco Software Center から入手できます。

• SSCMgmtToolKit：sscManagementUtility およびサポートファイルを含みます。

• Cisco_SSC-XP2K_5.1.0.zip：SSC ファイルを含みます。SSC のライセンスについては、「SSC ライセンスの詳細」の項（P.2-3）を参照してください。

• CiscoClientUtilities_5.1.0.zip：Log Packager を含みます。

SSC ソフトウェアは、Cisco Software Center から入手できます。URL は次のとおりです。

http://www.cisco.com/public/sw-center/index.shtml

Wireless Software > Client Adapters and Client Software > Cisco Secure Services Client の順にクリッ

クし、画面の指示に従って Latest Releases の 5.1.0 に進みます。

（注）ソフトウェアをダウンロードするには、Cisco.com に登録するか、登録済みのユーザである必要が

あります。

FIPS 3eTI CKL でサポートされるドライバのインストーラは、Cisco Software Center からダウンロー

ドすることはできません。シスコに注文していただく必要があります。SSC ソフトウェアの無期限

ライセンスは、次の製品番号を使用してシスコにご注文いただけます。

• AIR-SC5.0-XP2K：Cisco SSC リリース 5.1 ソフトウェアライセンス

• AIR-SSCFIPS-DRV：3eTI CKL でサポートされているドライバのインストーラ

ご注文いただいた、3eTI CKL でサポートされているドライバのインストーラソフトウェアは、製

品 CD に付属して出荷されます。

（注） SSCMgmtToolKit（SSC Management Utility）および Cisco Client Utilities は、Cisco Software Center からのダウンロードのみが可能です。

http://www.cisco.com/public/sw-center/index.shtml


SSC および 3eTI ドライバインストーラソフトウェアの入手方法


OL-15540-01-J

ssc の fips 140-2 レベル 1 準拠に 関する検証 - cisco ......ssc の fips 140-2 レベル...

Documents

ssc の fips 140-2 レベル 1 準拠に関する検証 - cisco ......ssc の fips 140-2 レベル...