FIPS 140 準拠

アメリカ国立標準技術研究所（NIST）は、連邦情報処理標準（FIPS）パブリケーション シリーズ 140 を発行し、米国およびカナダの政府機関が機密情報を保護するために使用するハードウェアおよびソフトウェアの両方のコンポーネントを含む暗号モジュールの要件と標準を調整しています。

FIPS 140 要件

クラウド サービス プロバイダ（CSP）は、米国政府とカナダ政府、およびその請負業者やベンダーのクラウド コンピューティングの要件を満たすために、FIPS セキュリティ管理を実装する必要があります。FIPS パブリケーション 140 では、セキュリティ要件を満たすメカニズムとして暗号化を使用する場合は、暗号モジュール検証プログラム（CMVP）のもとで FIPS 認証を受ける必要があると規定されています。

2020 年に発行された最新の FIPS パブリケーション シリーズ 140 は第 3 版であり、一般的に FIPS 140-3 と呼ばれます。NIST は、FIPS 140-2 標準から 140-3 標準への移行に関する移行ロードマップ対応の真っ只中にあり、Google はこの移行に取り組んでいます。2022 年 9 月以降、Google が新しいモジュールに関して提出した FIPS 140 の申請書類はすべて 140-3 標準に準拠しています。Google のコア ソフトウェア モジュールである BoringCrypto は、FIPS 140-3 認証を取得しました（#4735）。FIPS 140-2 標準に基づいて取得した認証は、有効期限が切れるまで、連邦コンプライアンス プログラムにおいて有効かつ受け入れられます。

Google Cloud FIPS 140 準拠

Google Cloud の保存データは、FIPS 140 認証取得済みモジュールで保護されます。Google は、Google データセンター間で送受信されるVM 同士のやり取りを、FIPS 認証取得済みの暗号化方式を使用して自動的に暗号化しています。

Google Cloud で転送中のデータは、FIPS 140 認証取得済みモジュールによって保護されます。たとえば、SSH 接続、データセンター トラフィック、サービス間接続、外部インターフェース（TLS 1.2 以降を使用）などが保護されます。FIPS 140 認証取得済みの接続を確保するには、Google Cloud に接続するマシンが認証を受けた暗号化モジュールを使用するように構成されていることを確認する必要があります。お客様は、FIPS 140 認証取得済みの接続を確保するには、TLS 1.2 以降を使用する必要があります。

暗号モジュールの選択と使用に関する FedRAMP ポリシーに従い、Google は、ソフトウェアに適用される最新のパッチと更新を含む更新ストリームを利用します。この更新ストリームは、更新されたソフトウェアの FIPS 認証ステータスに関係なく利用されます。

注: お客様が Google Cloud 上で構築し運用しているアプリケーションには、独自の暗号が実装されていることがあります。そのようなアプリケーションが処理するデータを FIPS 認証取得済みの暗号化モジュールで保護するには、お客様ご自身でその実装を統合する必要があります。