FIPS 140 要件

アメリカ国立標準技術研究所（NIST）は、連邦情報処理標準（FIPS）パブリケーション シリーズ 140 を発行し、米国およびカナダの政府機関が機密情報を保護するために使用するハードウェアおよびソフトウェアの両方のコンポーネントを含む暗号モジュールの要件と標準を調整しています。

FIPS 140 準拠

クラウド サービス プロバイダ（CSP）は、米国政府とカナダ政府、およびその請負業者やベンダーのクラウド コンピューティングの要件を満たすために、FIPS セキュリティ管理を実装する必要があります。FIPS パブリケーション 140 では、セキュリティ要件を満たすメカニズムとして暗号化を使用する場合は、暗号モジュール検証プログラム（CMVP）のもとで FIPS 認証を受ける必要があると規定されています。

2020 年に発行された最新の FIPS パブリケーション シリーズ 140 は第 3 版であり、一般的に FIPS 140-3 と呼ばれます。NIST は、FIPS 140-2 標準から 140-3 標準への移行に関する移行ロードマップ対応の真っ只中にあり、Google はこの移行に取り組んでいます。2022 年 9 月以降、Google が新しいモジュールに関して提出した FIPS 140 の申請書類はすべて 140-3 標準に準拠しています。Google のコア ソフトウェア モジュールである BoringCrypto は、FIPS 140-3 認証を取得しました（#5104）。FIPS 140-2 標準に基づいて取得した認証は、有効期限が切れるまで、連邦コンプライアンス プログラムにおいて有効かつ受け入れられます。

Google Cloud FIPS 140 準拠

Google Cloud の保存データは、FIPS 140 認証取得済みモジュールで保護されます。Google は、Google データセンター間で送受信されるVM 同士のやり取りを、FIPS 認証取得済みの暗号化方式を使用して自動的に暗号化しています。

Google Cloud で転送中のデータは、FIPS 140 認証取得済みモジュールによって処理されます。たとえば、SSH 接続、データセンター トラフィック、サービス間接続、外部インターフェース（TLS 1.2 以降を使用）などが処理されます。FIPS 140 認証取得済みの接続を確保するには、Google Cloud に接続するマシンが認証を受けた暗号化モジュールを使用するように構成されていることを確認する必要があります。FIPS 140 認証取得済みの接続を確保するには、TLS 1.2 以降を使用することをおすすめします。

暗号モジュールの選択と使用に関する FedRAMP ポリシーに従い、Google は、ソフトウェアに適用される最新のパッチと更新を含む更新ストリームを利用します。この更新ストリームは、更新されたソフトウェアの FIPS 認証ステータスに関係なく利用されます。Google は、更新されたメジャー バージョンがリリースから 6 か月以内に暗号モジュール検証プログラム（CMVP）に提出されたことを示すアーティファクトを保持し、SI -（2）に従って継続的なモニタリング プログラムの一環として暗号モジュールの使用状況（バージョンを含む）を可視化します。Google Cloud の暗号化モジュール制御の実装について詳しくは、Google のセールスチームまたは Google Cloud の営業担当者にお問い合わせください。FedRAMP ドキュメントへのアクセス方法をご案内します。政府機関のお客様は、パッケージ リクエスト フォームを使用して、FedRAMP プログラム管理オフィスを通じて Google の FedRAMP パッケージをリクエストすることもできます。

Google はこのポリシーを一貫して実装し、FIPS 暗号認証を必要とする他の指令（CJIS、ITAR、DoD IL4 および IL5、IRS 1075、JISF、Protected B など）にも更新ストリーム モデルを適用しています。

注: お客様が Google Cloud 上で構築し運用しているアプリケーションには、独自の暗号が実装されていることがあります。そのようなアプリケーションが処理するデータを FIPS 認証取得済みの暗号化モジュールで保護するには、お客様ご自身でその実装を統合する必要があります。