認定

更新日:2020年3月5日

政府規制

F5では、安全なIT環境を維持するために、政府の規制に沿った製品の認定および評価プログラムを積極的に実施しています。

連邦情報処理規格(FIPS)140-2

F5は、最も厳しいコンプライアンス要件を満たすために、仮想エディション(VE)、フルボックスのFIPSプラットフォーム、統合ハードウェア セキュリティ モジュール(HSM)PCIカード、外部(ネットワークHSM)FIPSソリューションを提供しています。詳細については、以下の表を参照してください。

FIPS 140-2レベル1ソリューションのみを必要とするお客様向けに、F5 FIPS BIG-IP VEには、x86プラットフォーム用のNIST検証済みのソフトウェア ベースの暗号モジュールが組み込まれています。

F5フルボックスFIPSプラットフォームは、改ざん防止ステッカーの適用を含む、FIPS 140-2レベル2でのデバイス レベルの検証を提供します。

また、F5は、RSA暗号キーの生成、使用、および保護のためにFIPS 140-2レベル2の実装をサポートするHSMを含む、厳選されたBIG-IPプラットフォームを提供しています。BIG-IP統合HSMで生成された、またはBIG-IP統合HSMにインポートされたキーは、プレーンテキスト形式では抽出できません。HSMを内蔵したBIG-IPハードウェア デバイスには、封印されたエポキシ樹脂製のカバーが付属しており、取り外すとカードが使用不可能になり、キーにアクセスできなくなります。さらなる保護のために、一部のプラットフォームでは、内部HSMのFIPS 140-2レベル3の実装をサポートしています。このセキュリティ格付けは、内部HSMカードに耐タンパー性があることを意味し、物理的なアクセスの試行、暗号モジュールの操作、および/または改ざんを認識し、鍵を破壊してカードを使用不能にします。

FIPSロゴ最後に、F5 BIG-IPは、外部(ネットワーク)HSMをサポートしています。詳細については、以下の表を参照してください。

パブリック クラウドでのFIPS統合サポート

  • AWS CloudHSM – CloudHSMを使用すると、FIPS 140-2レベル3で検証されたHSMを使用して、独自の暗号化キーを管理することができます。BIG-IP v14.1.0およびAWSバージョン1.0.18、1.1.0。
  • Equinix SmartKey – 暗号化とトークン化を組み込み、FIPS 140-2レベル3の認定を取得した使いやすいクラウドサービスで、HSMグレードのセキュリティを提供します。BIG-IP v14.1.0およびSmartKeyクライアント バージョン2.9.804。

F5 FIPS暗号モジュール

F5モデル BIG-IPソフトウェア リリース NIST検証済みの暗号モジュール 統合された検証証明書 その他の注意事項

以下のハイパーバイザー上のVirtual Edition:

  • VMware ESXi
  • Hyper-V
  • Centos 7上のKVM

以下のベンダー確認

  • AWS
  • Azure
15.1 BIG-IP向けの暗号モジュール レベル1
(進行中)

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

15.1 F5デバイス暗号モジュール

レベル2
(進行中)

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下におけるvCMP

i5000、i5820-DF、i7000、i7820-DF、i15800

 

VIPRION B2250/B4450

15.1 F5 vCMP暗号モジュール レベル2
(進行中)

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下のハイパーバイザー上のVirtual Edition:

  • VMware ESXi
  • Hyper-V
  • Centos 7上のKVM

以下のベンダー確認

  • AWS
  • Azure
14.1.2 BIG-IP向けの暗号モジュール レベル1
(進行中)

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

10350v-F、i7800

14.1.2 F5デバイス暗号モジュール レベル2
(進行中)

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下のハイパーバイザー上のVirtual Edition:

  • VMware ESXi
  • Hyper-V

以下のベンダー確認

  • AWS
  • Azure
14.1.0.3 BIG-IP向けの暗号モジュール レベル1:3596

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

14.1.0.3 F5デバイス暗号モジュール レベル2:3629

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下におけるvCMP

i5000、i5820-DF、i7000、i7820-DF、i15800

VIPRION B2250/B4450

14.1.0.3 F5 vCMP暗号モジュール レベル2:3623

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下のハイパーバイザー上のVirtual Edition:

  • VMware ESXi
  • Hyper-V

以下のベンダー確認

  • AWS
  • Azure
13.1.1 BIG-IP向けの暗号モジュール レベル1:2911

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

4000、5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

13.1.1 F5デバイス暗号モジュール レベル2:3450

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下におけるvCMP

VIPRION B2250/B4450

13.1.1 F5 vCMP暗号モジュール レベル2:3439

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

4000、7000、10350v-F

i4000、i5000、i7000

VIPRION B2250/B4450

13.1.0 F5デバイス暗号モジュール レベル2:3142

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下におけるvCMP

VIPRION B2250/B4450

13.1.0 F5 vCMP暗号モジュール レベル2:3179

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

以下のハイパーバイザー上のVirtual Edition:

  • VMware ESXi
  • Hyper-V

以下のベンダー確認

  • AWS
  • Azure
12.1.2 HF1 BIG-IP向けの暗号モジュール レベル1:2911

サポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

統合暗号モジュール

F5モデル
統合モジュール
NIST検証済みの暗号モジュール 統合された検証証明書 その他の注意事項
10350v-F、i5820-DF、i7820-DF NITROXIII CNN35XX-NFBE-G HSM Family レベル3:2495

NITROXIIIはFIPS-inside

部分的なサポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

5250v-F、7200v-F、10200v-F NITROX XL CN16XX-NFBE HSM Family レベル3:1369

NITROX XLはFIPS-inside

部分的なサポート:

DFARS 252.204-7012 / NIST SP 800-171 for CUI

外部暗号モジュール

F5 Systems
外部モジュール
NIST検証済みの暗号モジュール 統合された検証証明書 その他の注意事項
BIG-IP、VIPRION、およびVirtual Edition v11.2以上

Thales

nShield Connect 500+、

nShield Connect 1500+、

nShield Connect 6000+

レベル2:1203および1733

レベル3:1197および1742

サポート対象外:DFARS 252.204-7012 / NIST SP 800-171
BIG-IP、VIPRION、Virtual Edition v11.5以上 SafeNet Luna SA 6000

レベル2:1347

レベル3:1167

サポート対象外:DFARS 252.204-7012 / NIST SP 800-171

FIPSの履歴

F5 BIG-IP 6900Fおよび8900Fは、FIPS 140-2に準拠していますが、HSMへの必要なファームウェア アップグレードをサポートできないため、FIPSの履歴リストに移動されました。証明書を見つけるには、CMVP検証済みモジュールの検索ページに移動して、「Validation Status」=「Historical」で詳細検索を実行してください。

F5モデル NIST検証済み暗号モジュール 総合的なFIPSレベル セキュリティ ポリシー 統合された検証証明書
BIG-IP 6900F、8900F 統合モジュール:
Cavium Nitrox XL CN1520-VBD-04-0201
レベル2 レベル2セキュリティ ポリシー
レベル3セキュリティ ポリシー
FIPS 140-2検証証明書:
レベル2:1360
レベル3:1361

F5 FIPS準拠のソリューションを使用する主なメリット:

  • 高性能SSL - 業界をリードするパフォーマンスと業界推奨の標準を実現。
  • 統一されたプラットフォーム — BIG-IPは、セキュアなキー ストレージを提供するHSMと、SSL鍵管理および証明書管理を1台のデバイス上で行うアプリケーション デリバリー ソリューションを統合することができます。他のソリューションでは、Webサーバーごとに個別のシステムやFIPS認証カードを用意する必要がありますが、BIG-IPシステムの鍵管理フレームワークを使用すると、より高いトラフィック レベルにも対応できるスケーラブルでセキュアなインフラストラクチャを実現できます。また、組織はインフラストラクチャに新しいサービスを簡単に追加できます。
  • セキュアなリソース — F5ソリューションは、企業のリソースを安全に保ち、企業ブランドを保護することで、ビジネスの完全性を保護します。

DFARS 252.204-7012 / NIST SP 800-171 for Confidential Unclassified Information(CUI)は、2017年12月現在、米国国防総省のコントラクターに義務付けられており、非対称および対称の暗号操作を対象とするFIPS検証済みソリューションによって満たされています。特定のF5 FIPSプラットフォームは、直接、またはF5 FIPSモジュールを追加することによって、この要件を満たします。要件を満たすプラットフォームおよび詳細については、上記を参照してください。
 

Common Criteria for Information Technology Security Evaluation(コモン クライテリア、CC)

コモン クライテリアは、IT製品のセキュリティ特性を評価するための国際規格(ISO 15408)です。この要件のセットは、ハードウェア、ソフトウェア、ファイアウォール、およびサーバーを評価します。評価の目標は、デバイスやソフトウェアがデータを安全に処理し、その完全性を損なう可能性のある要素がないことを保証することです。

コモン クライテリアは、米国国防総省や連邦情報機関が購入する製品が、安全な情報システムを運用するための大統領の要求事項に従っていることを保証します。他の連邦政府機関や一部の金融企業は、機密性の高い導入環境には、コモン クライテリアで承認された製品を購入することが非常に容易であることに気付いています。F5は、Network Device and Firewall Collaborative Protection Profilesに対する認定、およびEAL 2+とEAL 4+の認定を取得しています。詳細は以下の図とリンクを参照してください。

Deutsches IT-Sicherheitszertifikat

コモン クライテリア認定

F5モデル ソフトウェア リリース 認定情報 セキュリティ ターゲット

10350v-F

I5000シリーズ(i5820-DFを含む)、i7000シリーズ(i7820-DFを含む)、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

以下のハイパーバイザー上のBIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019上のHyper-Vバージョン10.0

Centos 7上のKVM

15.1 LTM+AFM (進行中)

Collaborative Protection Profile for Network Devices v2.1

PP Module for Stateful Traffic Filter Firewalls Version 1.2

10350v-F

I5000シリーズ(i5820-DFを含む)、i7000シリーズ(i7820-DFを含む)、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

以下のハイパーバイザー上のBIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019上のHyper-Vバージョン10.0

Centos 7上のKVM

15.1 LTM+APM

(進行中)

Collaborative Protection Profile for Network Devices v2.1

以下のハイパーバイザー上のBIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019上のHyper-Vバージョン10.0

Centos 7上のKVM

14.1.2

LTM+AFM

CSEC 2019021

(進行中)

Collaborative Protection Profile for Stateful Traffic Filter Firewalls Version 2.0e

以下のハイパーバイザー上のBIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019上のHyper-Vバージョン10.0

Centos 7上のKVM

14.1.2

LTM+APM

CSEC 2019022

(進行中)

Collaborative Protection Profile for Network Devices Version 2.1

10350v-F

I5000シリーズ(i5820-DFを含む)、i7000シリーズ(i7820-DFを含む)、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+AFM

CSEC 2019003

NIAP PCL

Collaborative Protection Profile for Stateful Traffic Filter Firewalls Version 2.0e

10350v-F

I5000シリーズ(i5820-DFを含む)、i7000シリーズ(i7820-DFを含む)、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+APM

CSEC 2019004

NIAP PCL

Collaborative Protection Profile for Network Devices v2.1

10350v-F

i5000シリーズ、i7000シリーズ、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

13.1.1 LTM+AFM

CSEC 2017016

NIAP PCL

Collaborative Protection Profile for Stateful Traffic Filter Firewalls Version 2.0e

10350v-F

i5000シリーズ、i7000シリーズ、i10000シリーズ、i11000シリーズ、i15000シリーズ

VIPRION B2250/B4450

vCMP

13.1.1 LTM+APM

CSEC 2017021

 

NIAP PCL

Collaborative Protection Profile for Network Devices Version 2.0e

10350v-F

i5000シリーズ、i7000シリーズ

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+AFM

CSEC 2017004

NIAP PCL

Collaborative Protection Profile for Stateful Traffic Filter Firewalls Version 1.0

10350v-F

i5000シリーズ、i7000シリーズ

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+APM

CSEC 2017005

NIAP PCL

Collaborative Protection Profile for Network Devices Version 1.0
BIG-IP 11.5.1 ADF-Base(LTM+AFM) BSI-DSZ-CC-0856-2017 EAL4+ セキュリティ ターゲット
NIAP Protection profile for Network Devices Version 1.1およびNetwork Device Protection Profile Extended Package Stateful Traffic Filter Firewall Version 1.0に基づく
BIG-IP 11.5.1 ADC-AP(LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+ セキュリティ ターゲット
NIAP Protection profile for Network Devices Version 1.1に基づく
BIG-IP 6900、8900、11050 10.2.2 LTM + ACA+ PSM NIAPコモン クライテリア認証EAL 2+ F5 NetworksのBIG-IP Local Traffic Managerセキュリティ ターゲット

 

Commercial Solutions for Classified(CSfC)

CSfCは、機密扱いの国家安全保障システム(NSS)データを保護する階層型ソリューションでの市販製品の使用を可能にする、国家安全局/中央安全サービス(NSA/CSS)のプログラムです。このプログラムには2つの部分があります。ベンダーは自社製品を1つ以上のコンポーネント リストに掲載することを申請し、インテグレーターはそれらのリストに掲載されている製品の中からソリューションを作成することができます。製品がコンポーネント リストに掲載されるためには、コンポーネント リストに掲載されているすべてのコンポーネントがコモン クライテリア認定とFIPS検証の両方を取得している必要があります。

F5製品 コンポーネント リスト
BIG-IP 14.1.2 進行中
BIG-IP 14.1.0.3 進行中
BIG-IP 13.1.1 CSfCトラフィック フィルタリング ファイアウォール
BIG-IP 12.1 LTM+AFM CSfCトラフィック フィルタリング ファイアウォール

United States Government IPv6 Conformance Certification(USGv6)

米国行政管理予算局(OMB)は、OMB Memorandum M-05-22において、すべての連邦政府機関がネットワークでIPv6を使用することを義務付けられていると宣言しました。United States Government IPv6 Conformance Certification(USGv6)は、IPv6対応のホスト、ルーター、ネットワーク セキュリティ デバイスを取得するための技術基準のセットです。米国標準技術研究所(NIST)は、米国政府におけるIPv6の採用をサポートするために、USGv6適合規格を作成しました。

F5 BIG-IPは、IPv6対応で、USGv6認定を取得しています。次の発表をご覧ください。F5はIPv6対応のGoldロゴおよびUSGv6認定を受ける

F5プラットフォーム 製品バージョン 認定情報
BIG-IP 10000シリーズ、VIPRION B4300シリーズ 11.3.0以降のすべてのバージョン USGv6
UNH-IOLの結果
BIG-IP 10000シリーズ 11.3、12.1 IPv6 Gold
Phase-2 Gold Logo ID #02-C-001106

Joint Interoperability Test Command(JITC)Public Key Enabled(PKE)

米国国防情報システム局(DISA)のJoint Interoperability Test Command(JITC)は、相互運用可能で、運用上有効な情報技術および国家安全保障システムの迅速な展開を保証し、それを実現するためのリスクベースのテスト評価および認定サービス、ツール、環境を提供します。クライアントまたはサーバーは、公開鍵が有効(PKE)で、認証、機密性、否認防止、およびアクセス制御などのセキュリティ サービスを提供できることを保証するためにテストされます。JITC PKEのテスト領域には、NISTおよびJITC認定、オンライン証明書状態プロトコル(OCSP)、証明書失効リスト(CRL)、DoD Common Access Card(CAC)が含まれています。

F5 BIG-IPは、国防総省からPUBLIC KEY-ENABLED(PKE)として認定されています。次の発表をご覧ください。F5がJoint Interoperability Test Command(JITC)認定を取得

F5モデル 認定の詳細 コメント
BIG-IP v 11.2 認定済み DoD Common Access Card(CAC)と連携

NIST 800-53

NIST Special Publication 800-53の「Security and Privacy Controls for Federal Information Systems and Organizations(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)」は、連邦政府内での情報セキュリティとリスク管理へのアプローチ方法を定義する中核的な規格です。NIST、DoD、Intelligence Community、およびCommittee on National Security Systemsによって開発されたこの規格は、継続的な監視およびFISMA要件に関するガイダンスを提供しています。また、重要なミッションとビジネス機能を保護するためのリスクベースのアプローチもサポートしています。

F5は、この240ページ以上のドキュメントをNIST 800-53用のF5 iAppに抽出しました。iAppは、管理者がBIG-IPデバイスに関連するセキュリティ制御を適用する際に役立つ、関連する質問やタスクを数ページにわたって提供しているため、組織の管理時間とリソースを節約できます。

機関がDIACAPプロセスの改善やFISMAへの準拠を検討している場合は、F5 NIST 800-53 iAppを使用することで、BIG-IPの適切な構成設定を確認および設定することができます。

F5 iAppテンプレートの使用方法については、こちらをご覧ください。

国防総省情報ネットワーク承認製品リスト

米国国防総省DoDIN APLは相互運用性(IO)および情報保証(IA)認定を完了した製品の単一の統合リストです。DoDIN APL認定は、システムがDISA Field Security Office(FSO)のSecurity Technical Implementation Guides(STIG)に準拠し、それに基づいて設定されていることを確認します。

DoDIN APLプロセスの詳細については、DoDIN APLテストおよび認定のWebサイトご覧ください。

証明書/TN番号 製品 外部認定
1906001 F5 Networks BIG-IP Rel. 14.1 認定
1630801 F5 Networks BIG-IP Rel. 13.1 認定
1312201 F5 Networks BIG-IP Rel. 11.6 認定

その他の認定

F5が取得している他の多くの資格についての詳細は、F5販売担当部までお問い合わせください。