[AIX、Linux、Windows]

Federal Information Processing Standards ( )FIPS AIX, Linux, and Windows

SSL / TLS チャネルで暗号化が必要な場合、システム AIX®, Linux®, and Windows では暗号化パッケージを使用します IBM Crypto for C (ICC)IBM® MQAIX, Linux, and Windows プラットフォームでは、 ICC ソフトウェアは、米国国立標準技術研究所の Federal Information Processing Standards (FIPS) 暗号モジュール検証プログラムに合格しています。

注:
  • [AIX、Linux、Windows]AIX Linux s390x、およびにおいて WindowsIBM MQ は暗号 GSKit 8IBM Crypto for C (ICC) モジュールを通じてコンプライアンス FIPS 140-2 を提供します。 このモジュールの証明書は「履歴」ステータスに移動されました。 お客様は、NISTが提供するあらゆる助言を確認 IBM Crypto for C (ICC) 証明書 し、認識しておく必要があります。
  • [ MQ 9.4.4 2025年10月][Linux]から IBM MQ 9.4.4、および Linux on Power® Systems - Little EndianLinux for x86-64 は、暗号 IBM Crypto for C (ICC)GSKit 9 モジュールを通じて IBM MQ 準拠性を FIPS 140-3 提供します。 モジュール FIPS 140-3 に関連するNIST認証は、 https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4755 で閲覧できます。
  • [ MQ 9.4.5 2026年2月][AIX]から AIXIBM MQ 9.4.5GSKit バージョン9に更新されました。 GSKit 9 準拠 FIPS の基準を から FIPS 140-2 に引き上げる FIPS 140-3IBM MQ 暗号 IBM Crypto for C (ICC) モジュール(64ビット専用)を通じて FIPS 140-3 準拠性を提供します。
    注: その他のプラットフォーム(例: Windows および)は GSKit 8 、および FIPS 140-2Linux s390x レベルのままです。
  • [ MQ 9.4.2 2025年2月]内の暗号 FIPS 140-3 モジュールは、2024 IBM Semeru Runtime 年8月にNISTにより承認された。 IBM MQ 9.4.2 クライアント IBM MQ classes for JMS 接続の処理に対するサポートを追加し、 TLS を使用して、 FIPS 140-3 および Java 8 における IBM MQ classes for Java クライアント接続を処理します IBM Semeru Runtime 11+。 モジュール FIPS 140-3 に関連するNIST認証は、 https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4755 で閲覧できます。 プロバイダー FIPS 140-2 は依然としてデフォルトのプロファイルです。 IBM MQ 9.4.2 デフォルトの動作は変更しませんが、接続を.で設定 FIPS 140-3することを可能にします。
  • コンテナ IBM MQ においては、 3.2.0 および IBM MQ Operator キューマネージャーコンテナイメージ 9.4.0.0 以降は UBI 9 を基盤としています。 FIPS 140-3 コンテナ内 IBM MQ でのコンプライアンスは現在保留中です。

    [ MQ 9.4.4 2025年10月]有効にされている FIPS 場合、コンテナ IBM MQ 制御プロセスでは認定された FIPS 140-3OpenSSL モジュールを使用します。 NIST認証の詳細は以下でご覧いただけます: https://access.redhat.com/compliance/fips IBM MQ コンテナイメージ内で実行されるキューマネージャーは、ベースイメージのプラットフォームバージョンと同じ FIPSIBM MQ 認証レベルを有します。

[ MQ 9.4.4 2025年10月]システム AIX, Linux, and Windows における TLSIBM MQ 接続の準拠 FIPS 状況は以下の通りです:
  • TLS を有効化したすべてのメッセージチャネル(CLNTCONNチャネルタイプを除く)、 LDAPIBM MQ セキュア通信、JWT検証、JWKS通信、 AMS およびMCAチャネルにおいて、以下の条件を満たす場合、暗号処理は FIPS 準拠しているものとみなされる:
    • インストールされている IBM Global Security Kit (GSKit) ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • キューマネージャの SSLFIPS 属性が YES に設定されました。
    • すべてのキー・リポジトリーは、 -fips オプション付きの runmqakm など、 FIPS 準拠のソフトウェアのみを使用して作成および操作されている。
    • すべてのキー・リポジトリへのアクセスは、スタッシュ・ファイルを使って提供されるか、あるいは、パスワードが KEYRPWD 属性を介してキュー・マネージャに提供された場合、 SSLFIPS 属性が YESに設定される。
  • すべての IBM MQ MQI client アプリケーションと HTTPS CCDTの場合、接続は GSKit を使用し、以下の条件を満たせば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • MQI クライアントの関連トピックに記載されている通り、認証済み FIPS 暗号化のみを使用するよう指定しています。
    • すべてのキー・リポジトリーは、 -fips オプション付きの runmqakm など、 FIPS 準拠のソフトウェアのみを使用して作成および操作されている。
    • すべてのキー・リポジトリーへのアクセスは、スタッシュ・ファイルを使って提供されるか、パスワードが暗号化されている場合は、提供された -sm フラグを使って暗号化される。
  • クライアントモードを使用するアプリケーション IBM MQ classes for Java の場合、接続は実装 TLSJRE を利用し、以下の条件を満たす場合に のために FIPS 140-2 [ MQ 9.4.2 2025年2月] または FIPS 140-3 準拠 FIPS している:
    • アプリケーションの実行に使用される Java ランタイム環境は、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャに FIPS 準拠しています。
    • Java クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
  • クライアントモードを使用するアプリケーション IBM MQ classes for JMS の場合、接続は実装 TLSJRE を利用し、以下の条件を満たす場合に のために FIPS 140-2 [ MQ 9.4.2 2025年2月] または FIPS 140-3 準拠 FIPS している:
    • アプリケーションの実行に使用される Java ランタイム環境は、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャに FIPS 準拠しています。
    • JMS クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
  • 管理されていない .NET クライアント・アプリケーションの場合、接続は GSKit を使用し、以下の条件が満たされていれば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • .NET クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべてのキー・リポジトリーへのアクセスは、スタッシュ・ファイルを使って提供されるか、パスワードが暗号化されている場合は、提供された -sm フラグを使って暗号化される。
  • 管理されていない XMS .NET クライアント・アプリケーションの場合、接続は GSKit を使用し、以下の条件が満たされていれば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • XMS .NET の文書に記載されているように、 FIPS 認証された暗号のみを使用するよう指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべてのキー・リポジトリーへのアクセスは、スタッシュ・ファイルを使って提供されるか、パスワードが暗号化されている場合は、提供された -sm フラグを使って暗号化される。
  • IBM MQ Advanced Message Security (AMS) アプリケーションでは、以下の条件を満たす場合、接続は FIPS 準拠の暗号ライブラリとアルゴリズムを使用する:
    • インストールされている暗号ライブラリのバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されている。
    • すべてのキー・リポジトリーは、 -fips オプション付きの runmqakm など、 FIPS 準拠のソフトウェアのみを使用して作成および操作されている。
    • すべてのキー・リポジトリーへのアクセスは、スタッシュ・ファイルを使って提供されるか、パスワードが暗号化されている場合は、提供された -sm フラグを使って暗号化される。
    • 関連する AMS コンフィギュレーション接頭辞では、 .fips オプションを yes に設定する。
[Long Term Support]システム AIX, Linux, and Windows における TLSIBM MQ 接続の準拠 FIPS 状況は以下の通りです:
  • すべての IBM MQ メッセージ・チャンネル(CLNTCONN チャンネル・タイプを除く)において、以下の条件を満たす場合、接続は FIPS に準拠する:
    • インストールされている IBM Global Security Kit (GSKit) ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • キューマネージャの SSLFIPS 属性が YES に設定されました。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべての鍵リポジトリーへのアクセスは、キュー・マネージャーの KEYRPWD 属性ではなく、stash ファイルを使用して提供されます。
  • すべての IBM MQ MQI client アプリケーションでは、接続は GSKit を使用し、以下の条件を満たせば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • MQI クライアントの関連トピックに記載されている通り、認証済み FIPS 暗号化のみを使用するよう指定しています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべての鍵リポジトリーへのアクセスは、鍵リポジトリーのパスワード・メカニズムではなく、stash ファイルを使用して提供されます。
  • クライアントモードを使用するアプリケーション IBM MQ classes for Java の場合、接続は実装 TLSJRE を利用し、以下の条件を満たす場合に のために FIPS 140-2 [ MQ 9.4.2 2025年2月] または FIPS 140-3 準拠 FIPS している:
    • アプリケーションの実行に使用される Java ランタイム環境は、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャに FIPS 準拠しています。
    • Java クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
  • クライアントモードを使用するアプリケーション IBM MQ classes for JMS の場合、接続は実装 TLSJRE を利用し、以下の条件を満たす場合に のために FIPS 140-2 [ MQ 9.4.2 2025年2月] または FIPS 140-3 準拠 FIPS している:
    • アプリケーションの実行に使用される Java ランタイム環境は、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャに FIPS 準拠しています。
    • JMS クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
  • 管理されていない .NET クライアント・アプリケーションの場合、接続は GSKit を使用し、以下の条件が満たされていれば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • .NET クライアントの関連トピックで説明されているように、 FIPS 認証された暗号のみを使用するように指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべての鍵リポジトリーへのアクセスは、鍵リポジトリーのパスワード・メカニズムではなく、stash ファイルを使用して提供されます。
  • 管理されていない XMS .NET クライアント・アプリケーションの場合、接続は GSKit を使用し、以下の条件が満たされていれば FIPS に準拠します:
    • インストールされている GSKit ICC のバージョンは、インストールされているオペレーティング・システムのバージョンとハードウェア・アーキテクチャにおいて、 FIPS 140-2 に準拠していることが証明されています。
    • XMS .NET の文書に記載されているように、 FIPS 認証された暗号のみを使用するよう指定されています。
    • すべてのキー・リポジトリーは、 runmqakm-fips オプション付き)など、 FIPS に準拠したソフトウェアのみを使用して作成・操作されている。
    • すべての鍵リポジトリーへのアクセスは、鍵リポジトリーのパスワード・メカニズムではなく、stash ファイルを使用して提供されます。

サポート対象の全プラットフォームは、各修正プログラムまたは更新プログラムに同梱のReadmeファイルに記載されている場合を除き、認証 FIPS 140-2[ MQ 9.4.2 2025年2月] または FIPS 140-3 済みです。

TLS 接続において GSKit、認証 FIPS 140-2 対象のコンポーネントは に命名されます ICC。 このコンポーネントのバージョンによって、どのプラットフォームでも GSKit FIPS 。 現在インストールされている ICC のバージョンを調べるには、 dspmqver -p 64 -v コマンドを実行する。

以下に、 ICCに関連する dspmqver -p 64 -v 出力の抜粋例を示します。
ICC
============
@(#)CompanyName:   IBM Corporation
@(#)LegalTrademarks: IBM
@(#)FileDescription: IBM Crypto for C-language
@(#)FileVersion:   8.0.0.0
@(#)LegalCopyright:  Licensed Materials - Property of IBM
@(#)         ICC
@(#) (C) IBM Corp. 2002, 2026.
@(#)         All Rights Reserved. US Government Users
@(#)         Restricted Rights - Use, duplication or disclosure
@(#)         restricted by GSA ADP Schedule Contract with IBM Corp.
@(#)ProductName:   icc_8.0 (GoldCoast Build) 100415
@(#)ProductVersion:  8.0.0.0
@(#)ProductInfo:   10/04/15.03:32:19.10/04/15.18:41:51
@(#)CMVCInfo:

8(に GSKitICC 含まれる GSKit 8)のNIST認証声明は、以下のアドレスで確認できます: 暗号モジュール検証プログラム

暗号ハードウェアが存在する場合、 IBM MQ によって使用される暗号モジュールは、ハードウェア製造メーカーによって提供されるものになるように構成できます。 この場合、これらの暗号モジュールが FIPS で認証されている場合のみ、コンフィギュレーションは FIPS に準拠する。

トリプルDESの制限は、 FIPS 140-2 または FIPS 140-3

が に準拠して動作するよう FIPS 140-2[ MQ 9.4.2 2025年2月] または FIPS 140-3 設定されている IBM MQ 場合、トリプルDES(3DES)に関して追加の制限 CipherSpecsが適用されます。 それらの制約事項を適用することにより、US NIST SP800-67 勧告に準拠します。
  1. Triple-DES キーはすべての部分が固有でなければなりません。
  2. Triple-DES キーのどの部分も、NIST SP800-67 の定義による Weak、Semi-Weak、または Possibly-Weak にすることはできません。
  3. 秘密鍵をリセットするまでは、接続を介して 32 GB までしかデータを転送することができません。 デフォルトでは、 IBM MQ は秘密セッション鍵をリセットしないため、このリセットを構成する必要があります。 トリプルDES CipherSpec および FIPS 140-3[ MQ 9.4.2 2025年2月]FIPS 140-2 /または準拠時に秘密鍵リセットを有効にしない場合、エラーで接続が切断されますAMQ9288最大バイト数を超えた後。 シークレットキーのリセット設定方法については、 「 SSL および TLS シークレットキーのリセット」 を参照してください。
IBM MQ は、既にルール 1 とルール 2 に準拠している Triple DES セッション鍵を生成します。 ただし、3番目の制限を満たすには、トリプルDES( CipherSpecs )を FIPS 140-2[ MQ 9.4.2 2025年2月] または FIPS 140-3 構成で使用する際に、秘密鍵リセットを有効にする必要があります。 あるいは、Triple-DES を使用しないという方法もあります。