Tableau Server on Linux における FIPS 準拠

このトピックでは、Tableau Server の FIPS 準拠バージョンについて説明します。FIPS (連邦情報処理標準) 準拠は、Tableau Server on Linux のバージョン 2025.3 で追加されました。Tableau Server on Windows は、FIPS に準拠していません。

FIPS 140-2 は、暗号化モジュールの承認に使用される米国政府のコンピューター セキュリティ標準です。この準拠により、Tableau Server 内のすべての暗号化操作が厳格なセキュリティ要件を満たし、データに対してより安全な環境が提供されます。

FIPS 準拠による影響

ほとんどのユーザーにとって、Tableau Server を使用する際の日常的なエクスペリエンスはほとんど変わりません。FIPS 準拠は、主にサーバーのセキュリティ体制を強化するための内部的な強化対策です。

  • セキュリティの強化: 転送中および保存中のすべてのデータは、暗号化モジュールによって保護されている場合、FIPS 検証アルゴリズムを使用します。

  • 規制の遵守: Tableau Server for Linux の FIPS 準拠によって、組織は、FIPS 140-2 への準拠を義務付ける特定の政府および業界の規制を満たすことができます。

  • ユーザーへの影響: ユーザーへの直接的な影響はありません。ワークブックのパブリッシュ、ダッシュボードの表示、データの操作方法を変更する必要はありません。セキュリティ強化は、エンドユーザーのワークフローに対して透過的です。

Tableau Server を FIPS モードでインストールする

Tableau Server を FIPS モードでインストールする際は、initialize-tsm script--enable-fips フラグを含めます。Tableau Server をインストールして初期化するためのドキュメントは、--enable-fips フラグを除き、FIPS 非対応のサーバーの場合と同じです。Tableau Server インスタンスは、FIPS モードか、FIPS モードでないかのいずれかになります。いずれかのインスタンスで initialize-tsm が初めて実行されると、FIPS モードが設定され、Tableau Server を再インストールしない限り、その設定を変更することはできません。Tableau Server のインストールの詳細については、「TSM のインストールと初期化」を参照してください。

Tableau Server のインスタンスを FIPS 非対応モードから FIPS モードに変換するには、「データを FIPS モードの Tableau Server に復元する」を参照してください。

注: FIPS モードは、コンテナ内の Tableau Serverではテストされておらず、サポートされていません。

FIPS モードでの Tableau Server のコマンド ライン ツールの使用

Tableau Server が FIPS モードでインストールされている場合、インストール プロセスの一部として、特別な環境変数 TABLEAU_SERVER_ENABLEFIPS=true がシステム起動スクリプトに追加され、システムのユーザーがログインする際にこの環境変数が自動的に設定されるようになります。これにより、ユーザーが tsm または tabcmd CLI ツールを実行すると、それらのツールも FIPS モードで実行されるようになります。tsmtabcmd を FIPS モードで実行することは、FIPS に準拠するためだけでなく、正常に機能させるためにも重要です。

注: FIPS モードのサーバーで古いバージョンの tsm を使用することはできません。

Tableau Server で FIPS モードが有効になっているかどうかを確認する方法

FIPS モードは、サーバーのバックアップを別のインスタンスに復元できる場合や、一部のデータベース接続で認証が必要になるタイミングなど、Tableau Server との一部の操作に影響を及ぼします。サーバーが FIPS モードで実行されているかどうかを確認するには、いくつかの方法があります。

  • TSM の場合

    • コマンド ラインで tsm version コマンドを実行し、バージョンの末尾にある「(FIPS)」を探します。

      % tsm version
      Tableau Services Manager command line version 2025.3.0. (FIPS)
      Tableau Server version 2025.3.0. (FIPS)
      
    • TSM UI から [TSM について] ダイアログを開きます。

  • tabcmd を使用する場合:

    % tabcmd version
    Tableau Server Command Line Utility -- 2025.3.0 (FIPS)
  • Tableau Server で [Tableau について] ダイアログを開きます。

FIPS 対応 Linux オペレーティング・システムの使用

FIPS モードの Tableau Server は、FIPS が有効になっている RHEL 8(新しいウィンドウでリンクが開く) でテスト済みです。Tableau Server は、サポートされている任意の Linux オペレーティング システムで FIPS モードで実行する必要がありますが、RHEL 8 でのみテストされています。

Tableau Server を FIPS モードで実行するために、FIPS 対応の OS を使用する必要はありませんが、FIPS に完全に準拠するには、FIPS 対応の OS で実行することをお勧めします。FIPS モードで実行するためのオペレーティング システムの構成方法を理解することは、ユーザーの責任です。

データを FIPS モードの Tableau Server に復元する

データを FIPS モードの Tableau Server に復元するには、バックアップが FIPS に準拠している必要があります。ただし、FIPS 対応前のバージョンの Tableau Server を実行している場合、そのサーバーは FIPS 準拠のバックアップを生成できないため、FIPS 準拠のバックアップを作成する前にそのインスタンスをアップグレードする必要があります。

ベスト プラクティスとして、アップグレードの際にブルー/グリーン アプローチを使用することを強くお勧めします。このアプローチでは、問題が発生した場合に元のサーバーにフォールバックすることができます。ブルー/グリーン アップグレードの詳細については、「Tableau Server のアップグレードにブルー/グリーン アプローチを使用する」を参照してください。

FIPS 非対応のインストールを FIPS モードにアップグレードする

Tableau Server の FIPS 非対応バージョンから FIPS モード バージョンに移行するには:

  1. FIPS 非対応モードの Tableau Server をバックアップします。

    このバックアップは、安全上のベスト プラクティスであり、何か問題が発生した場合に元のサーバー インストールを復元するために使用できます。

  2. FIPS 非対応モードの Tableau Server を FIPS に対応するバージョンの Tableau Server (2025.3.0 以降) にアップグレードします。

  3. アップグレードしたサーバーのバックアップを作成します。このバックアップを使用して、次のステップで作成する FIPS 対応サーバー インスタンスにデータを復元します。

    注: アップグレードされたサーバーは FIPS モードにはなりませんが、FIPS 対応のバージョンであるため、FIPS 準拠のバックアップが生成されます。

  4. FIPS モードで実行する新しい Tableau Server インスタンスを作成します。

  5. 新しい FIPS 対応インスタンスにバックアップ データを復元します。

注: FIPS をサポートするバージョンに Tableau Server をアップグレードすると、Tableau Server インスタンスが FIPS モードで実行されていない場合でも、そのバージョンで生成されるバックアップは FIPS に準拠したものになります。

FIPS モードのインストールを FIPS 非対応モードにアップグレードです

FIPS モードのインストールから FIPS 非対応インストールに変換するには、同様のステップに従います。この場合、最終的な FIPS 非対応インストールは、FIPS モードが無効になっている FIPS 対応バージョン (2025.3.x 以降) である必要があります。

FIPS 適用のメカニズム

FIPS 標準を適用するジョブは、openssl(新しいウィンドウでリンクが開く)bouncycastle(新しいウィンドウでリンクが開く) の 2 つの外部ライブラリによって処理されます。ライブラリは NIST 認定を受けており、ライブラリを使用するアプリケーションが暗号化機能に関してそれらに完全に依存している限り、FIPS コンプライアンスが保証されます。Tableau Server は、すべての暗号関数がこれら 2 つのライブラリのいずれかを通過するように設計されています。

具体的には、Bouncycastle ライブラリは、FIPS に準拠していないため、標準の Java キーストア cacerts ファイルを読み取りません。代わりに、Tableau Server は Bouncycastle 固有の FIPS に準拠した BCFKS キーストアを使用します。Tableau Desktop と Web 作成のドキュメント(新しいウィンドウでリンクが開く)で説明されているように、(m)TLS 経由で JDBC データ ソースと安全に通信するために独自の証明書を OS トラストストアに追加する場合を除き、このキーストアの使用はユーザーに対してほぼ透過的です。これらのステップに従い、さらに update-ca-certificates を実行したら、 update-cacerts という名前の Tableau Server インストール ディレクトリで追加のスクリプトを実行する必要があります。これにより、OS トラストストア cacerts ファイルの内容が OS トラストストア ファイルと同じディレクトリに作成される FIPS 準拠の cacerts.bcfks に変換されます。

FIPS の適用例として、JDBC 経由で PostgreSQL データベースに接続するケースを紹介します。最も一般的な 2 つのエラーは、サーバーまたはデータベースのユーザーが scram-sha-256 パスワード暗号化(新しいウィンドウでリンクが開く) を使用するように構成されていないため、代わりに md5 パスワード暗号化を使用している、またはデータベース ユーザーのパスワードの長さが、Bouncycastle ライブラリで規定されている 112 ビット(14 バイト)よりも短いというものです。Tableau Server が FIPS モードのときに PostgreSQL に接続すると、ユーザーの構成と認証資格情報に応じて、そのうちの 1 つまたは両方のエラーが発生する可能性があります。このようなエラーは、FIPS モードでソフトウェアを実行する際によく発生しますが、これは Tableau Server を FIPS 非対応モードで実行する場合と FIPS モードで実行する場合の違いによるものです。

FIPS の境界

Tableau Server を FIPS 対応の OS で FIPS モードで実行する場合、FIPS 対応の OS で実行されているソフトウェア、およびその OS で直接実行されている Tableau Server ソフトウェアは FIPS 対応であり、FIPS 標準が適用されます。ただし、その Tableau Server には、Tableau が作成したソフトウェアを含め他のソフトウェアが接続されますが、そのソフトウェアの FIPS 準拠についての保証はありません。OS が FIPS に対応していない場合も同様です。これには Web ブラウザーと Tableau Desktop が含まれますが、これらに限定されません。

また、FIPS 標準は、使用中の暗号化アルゴリズムの適用にのみ関連しています。FIPS は、必ずしもソフトウェア システムの全体的なセキュリティ体制を反映しているわけではありません。たとえば、PostgreSQL を使用している上記の例では、パスワード暗号化のオプションの 1 つに、暗号化なしを意味する「password」という名前が付いています。つまり、パスワードはクリア テキストで送信されるということです。これは、これらすべての中で最もセキュリティが脆弱なパスワード伝送プロトコルですが、暗号化アルゴリズムが機能していないため、技術的には FIPS に準拠しています。ユーザーがクリア テキストのパスワードを受け入れるように postgres データベースを構成している場合は、FIPS モードの Tableau Server はエラーなしで接続されます。ユーザーは、使用しているセキュリティ設定に注意する必要があります。Tableau Server を FIPS モードで実行することによって保証されるのは、使用されている暗号アルゴリズムが FIPS 標準に準拠していることだけです。

 

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!