fips

FIPS 140-2 認証取得済み

アメリカ国立標準技術研究所(NIST)は、ハードウェア、ソフトウェア、ファームウェアなどに対し、米国連邦政府機関向けの暗号モジュールの要件を規定するセキュリティ標準として、連邦情報処理標準(FIPS)パブリケーション 140-2 を作成しました。FIPS 140-2 認証は、デジタルで保存された未分類の機密情報の保護を支援する目的で確立されています。

Google Cloud Platform は、本番環境で BoringCrypto(証明書 3318)と呼ばれる FIPS 140-2 認証取得済みの暗号化モジュールを使用しています。これは、お客様への転送中のデータおよびデータセンター間で転送中のデータと、保管中のデータのどちらも FIPS 140-2 認証取得済みの暗号方式によって暗号化が行われるということを意味します。FIPS 140-2 認証取得済みのモジュールは Google の BoringSSL ライブラリの一部です。

FIPS 認証を取得した実装のみを使用して運用するには:

  • Google のローカル SSD ストレージ プロダクトでは NIST の承認を得た暗号方式による暗号化が自動的に行われますが、このプロダクトについて Google が現在運用している実装は FIPS 140-2 認証の証明書を取得していません。ローカル SSD ストレージで FIPS 認証済みの暗号化が必要な場合は、お客様側で FIPS 認証取得済みの暗号モジュールを用意し、ご自身で暗号化を行っていただく必要があります。
  • VM 同士のやり取りによって Google データセンター間で送受信されるデータは NIST の承認を得た暗号化アルゴリズムで自動的に暗号化されますが、この実装は FIPS 認証証明書を取得していません。このトラフィックを FIPS 認証取得済みの実装で暗号化する必要がある場合は、お客様ご自身で用意していただく必要があります。
  • お客様のクライアントから Google のインフラストラクチャへ接続を行う場合は、セキュアな FIPS 準拠アルゴリズムを許可し、そのようなアルゴリズムを要求するように TLS クライアントを構成する必要があります。TLS クライアントと GCP の TLS サービスの設定が FIPS と互換性のない暗号化方式を使用することで一致している場合、認証されていない暗号化の実装が使用されます。
  • お客様が GCP 上で構築と運用を行うアプリケーションには、独自の暗号実装を含めることができます。そのようなアプリケーションで処理されるデータを FIPS 認証取得済みの暗号モジュールで保護するためには、お客様ご自身でそのような実装を統合する必要があります。

現在、FIPS 140-2 認証取得済みの暗号化は、すべての Google Cloud のリージョンとゾーンでサポートされています。

関連するプロダクトとサービス

よくある質問

リージョン

米国

業種

政府および公共部門