SIOTP協議会　「FIPS140-3を取り巻く環境に対する考察」をリリース

NIST(米国国立標準技術研究所)が定める暗号モジュールのセキュリティ標準規格「FIPS140-3」が注目されている。コンピュータおよび電気通信システム（音声システムを含む）において機密情報を保護するための暗号モジュールとして、またセンサーからクラウドサービスにおける安全なデータ伝送を行う上でもFIPS140-3適応が求められている。

そこで、一般社団法人セキュアIoTプラットフォーム協議会では、「FIPS140-3を取り巻く環境に対する考察」をリリースした。

FIPS140-3を取り巻く動向

現在、市場には旧バージョンであるFIPS140-2とFIPS140-3準拠のシステム及びクラウドサービスの2つが存在し、併用されているが、2022年4月1日以降は、FIPS140-2のCMVPテスト受付が終了しており、それ以前にFIPS140-2 CMVPテスト申し込みを行い、適合検証を受けたシステム及びクラウドサービスも2026年9月21日までにFIPS140-3への移行が求められている。ただし、国家安全保障上懸念すべき攻撃事案の発生などの国際環境の変化により、FIPS140-3の適応が前倒しになる可能性もあると考えられる。

米国サイバーセキュリティ・社会基盤安全保障庁(CISA)の「国家サイバーセキュリティ保護システム（NCPS: National Cybersecurity Protection System）」では、重要インフラに関連するソフトウェアベンダー、サービス提供ベンダー（Webサービス含む）、クラウドサービスプロバイダーに対しても、FIPS140-3の導入・実装の義務を示している。

またその後も米国政府機関からは、続々とこの流れをサポートする大統領令やサイバーセキュリティに関わるドキュメントがリリースされ、国家安全保障省、国防省購買要件に限定されていたものが、民生品や民間主体で運用されているシステムやクラウドサービスにおいても、製品やサービスが安全に構築され、運用するために同様に対策が求められるようになってきている。それに合わせてMicrosoft、AWS、Google、Zoomなど個人法人情報や様々な情報コンテンツを扱う、大手クラウドサービスおよびWebサービスを提供する企業もFIPS140シリーズの認証を受けており、順次最新バージョンであるFIPS140-3への移行が進むであろう。

国内でも進む対応　　

FIPS140-3はIoT機器のようなハードウェアだけではなく、システム全体やクラウドサービスにも対応が求められている。

先日、記者発表された、サイバートラストのAlmaLinuxコミュニティへの参画とCloudLinuxとの協業の発表がされたが、AlmaLinux OSはオープンソースソフトウェアでありながら、いち早くFIPS140-3に準拠したOSである。

そして、セキュアIoTプラットフォーム協議会と日本デジタルトランスフォーメーション推進協会は、AlmaLinuxによる安全なソフトウェアサプライチェーン構築の必要性に関する啓発活動を、中小企業に向けて、オンラインセミナーやWebinar、メディアを通じた情報発信などの活動を行っていくと発表している。

参考：日本デジタルトランスフォーメーション推進協会と連携し、AlmaLinux OS推進によるオープンソースセキュリティ啓発活動を展開（SIOTP協議会リリース資料）

FIPS140-3の適応は米国に留まらず、待ったなしで、我が国の重要インフラを中心に産業界にも大きな影響を与えることは明らかである。政府機関に関連するシステムの調達要件だけではなく、民生品にも対応が求められるようになるのは間違いないであろう。 そのため早い段階で情報をいち早く取得し、その準備を整えておくことが重要となる。

公開された資料「FIPS140-3を取り巻く環境に対する考察」はこちら