連邦情報処理標準(Federal Information Processing Standards、FIPS)は、主としてアメリカ合衆国連邦政府の非軍事機関およびそれらと取引する請負業者向けに定められた、公表済みの標準群である。情報セキュリティ、データ形式、暗号、アイデンティティ管理などの分野における技術的・手続き上の要件を定義する。FIPS文書は国立標準技術研究所(NIST)が公開・維持し、調達、適合性、連邦政策の文脈で広く参照される。
範囲と目的
FIPSは、連邦情報システム全体にわたって相互運用性、一貫性、および最低限の保証水準を促進することを目的とする。一部のFIPSは行政部門の機関にとって義務的であり、他のものは規則や契約で参照される権威ある指針として機能する。標準は、情報システムをどのように分類するかといった高位のプログラム上の事項から、承認済み暗号アルゴリズムやモジュール検証基準のような詳細な技術要件までを扱う。
他の標準との関係
多くのFIPSは、より広い技術コミュニティですでに使われている標準を基に、調整または正式化したものである。連邦の必要に合わせるため、標準化団体や業界コンソーシアムの仕様を取り込み、または修正することがある。FIPSとしばしば参照関係や整合が図られる組織の例には、IEEEやISOがある。安全性、相互運用性、または法的理由から差異が必要な場合、FIPSは連邦利用において、他の適用可能な商用標準に優先したり、その適用を制約したりすることがある。
代表的な例
- FIPS 140シリーズ — 機密扱いだが未分類の情報を保護するために用いられる暗号モジュールの検証標準。ハードウェアおよびソフトウェア暗号の設計、文書化、試験要件を定める。
- FIPS 197 — 連邦利用の承認済みアルゴリズムとしてAdvanced Encryption Standard(AES)を規定する。
- FIPS 180シリーズ — 完全性確認およびデジタル署名に用いられる安全なハッシュアルゴリズム(SHA)を規定する。
- FIPS 201 — 連邦職員向けスマートカードおよび本人確認資格情報に関するPersonal Identity Verification(PIV)要件を定義する。
- FIPS 199 — セキュリティ上の影響に基づいて情報および情報システムを分類するための枠組みを示す。
策定、改訂、現状
NISTは、内部作業と公開レビューを通じてFIPSを策定し、技術専門家、連邦の利害関係者、産業界に助言を求めることが多い。個々のFIPSは改訂、置換、または撤回されることがあり、その後のNIST出版物や特別出版物がFIPS要件を補足または実装することも少なくない。機関やベンダーは、適用される義務や試験上の期待を判断するために、対象FIPSの最新の状態を追跡する必要がある。
利用と実務上の重要性
FIPSは、連邦調達、システム認定、適合性評価において中心的な役割を果たす。請負業者、製品開発者、試験機関は、義務要件や試験機関の検証プログラムのためにFIPSを参照する。FIPSは連邦システムを対象とするが、民間組織の中にも、顧客の期待に応えるため、あるいは政府関係者との整合を図るために、FIPSに基づく管理策を採用するところがある。FIPSは、軍事仕様や純粋に任意の業界標準とは、その範囲、権威、ならびに承認・施行のための手続きにおいて異なる。