アメリカ国立標準技術研究所(NIST)は、ハードウェア、ソフトウェア、ファームウェアなどに対し、米国連邦政府機関向けの暗号化モジュールの要件を規定するセキュリティ標準として、連邦情報処理標準(FIPS)パブリケーション 140-2 を作成しました。FIPS 140-2 認証は、デジタルで保存された未分類の機密情報の保護を支援する目的で確立されたものです。
Google Cloud は、本番環境で BoringCrypto(証明書 4407)と呼ばれる FIPS 140-2 認証取得済みの暗号化モジュールを使用しています。これは、お客様への転送中のデータおよびデータセンター間で転送中のデータと、保管中のデータのどちらも FIPS 140-2 認証取得済みの暗号方式によって暗号化が行われるということを意味します。FIPS 140-2 認証取得済みのモジュールは Google の BoringSSL ライブラリの一部です。
FIPS 認証を取得した実装のみを使用して運用するために:
- Google は、Google データセンター間で送受信されるVM 同士のやり取りを、FIPS 140-2 認証取得済みの暗号化方式を使用して自動的に暗号化しています。
- Google のローカル SSD ストレージ プロダクトは NIST の承認を得た暗号方式を使用して自動的に暗号化されていますが、このプロダクトについて Google が現在運用している実装は FIPS 140-2 認証の証明書を取得していません。ローカル SSD ストレージで FIPS 認証取得済みの暗号化が必要なお客様には、FIPS 認証取得済みの暗号化モジュールをご用意いただき、ご自身で暗号化を行っていただく必要があります。
- お客様のクライアントから Google のインフラストラクチャに接続する場合は、セキュアな FIPS 準拠アルゴリズムの使用を要求するように TLS クライアントを構成する必要があります。TLS クライアントと Google Cloud の TLS サービスの設定が FIPS に対応していない暗号化方式を使用する点で一致している場合、認証を取得していない暗号化の実装が使用されます。
- お客様が Google Cloud 上で構築し運用しているアプリケーションには、独自の暗号化が実装されていることがあります。そのようなアプリケーションが処理するデータを FIPS 認証取得済みの暗号化モジュールで保護するには、お客様ご自身でそのような実装を統合する必要があります。
現在、FIPS 140-2 認証取得済みの暗号化は、すべての Google Cloud のリージョンとゾーンで対応しています。