セキュアコンテナ基盤のChainguard、OpenSSL 3.4ベースのFIPS Moduleを発表

Chainguardは、OpenSSL 3.4を基盤とする初のFIPS対応コンテナイメージを発表しました。新たに提供されるChainguard FIPS Provider for OpenSSL 3.4では、FIPSイメージを支える検証済み暗号モジュールをChainguard自身が保有し、維持管理します。これにより、規制対応が求められる組織は、NIST guidanceに沿って2030年までのコンプライアンス維持と安全なパッチ適用を、より簡潔かつ持続的に進められるようになります。今回の発表は、検証済み暗号技術の構築、維持、更新の在り方を構造的に変える動きとして位置づけられています。規制環境で事業を行う組織にとって、FIPS validationは基盤的な要件です。連邦政府機関、金融機関、医療機関、さらにFedRAMPやDoD ILのような枠組みに準拠しようとする企業では、FIPS認証済みの暗号技術が求められます。ただし、認証取得は出発点にすぎません。新たな脆弱性が公表され、基準が進化していく中で、組織は安全性を維持しながら、検証済み暗号の範囲内にとどまる必要があります。これまでは、認証済みモジュールを第三者が所有している場合、コンテナイメージ提供者側の可視性と統制が限られ、更新時の遅延や調整負荷、監査時の曖昧さが生じやすいという課題がありました。Chainguardは、自社で暗号モジュールを保有・運用することで、この課題を解消しようとしています。

ChainguardのSenior Vice President of ProductであるPatrick Donahueは、FIPS validationは現実の運用から乖離していく静的な証明書であってはならないと述べています。Chainguardが自社で検証済み暗号モジュールを維持することで、認証範囲内の脆弱性に直接対応でき、深刻度にかかわらず必要な更新を提出し、コンプライアンスとセキュリティを同時に前進させられると説明しています。規制業界の顧客にとって、2030年を見据えた信頼性と統制力を提供することが目的だとしています。

今回のChainguard FIPS Provider for OpenSSL 3.4では、いくつかの特徴が打ち出されています。まず、認証範囲内の既知のCVEが存在しない状態を実現し、今後も重大度を問わず、対象範囲内のCVEについて常に更新を提出する方針を掲げています。Chainguardはこれを、例外や提出遅延を伴わないゼロCVEの検証済みFIPS Moduleに関する業界初のコミットメントだとしています。また、OpenSSL 3.4というFIPS認証を取得した中で最も高いバージョンを基盤にすることで、検証範囲内で最新世代の性能とアーキテクチャ改善を提供します。さらに、NIST SP 800-131A guidanceに2030年まで完全準拠し、FIPS 186-5 Ed25519への対応や、強度要件を満たさなくなった旧式アルゴリズムの排除も進めています。加えて、カーネル非依存のエントロピー供給を備えたポータブルなuserspace設計も特徴です。静的リンクされたソースを通じてSP 800-90Bで検証されたエントロピーを提供し、完全にuserspaceで動作します。57の環境で検証されており、主要Linux distributionやパブリッククラウドも含めて、エッジからクラウドまで一貫したコンプライアンスを実現できるとしています。また、x86_64とARM64の両方にわたり、ソフトウェアおよびハードウェアアクセラレーション実装をカバーする39のCAVP certificatesを備え、現代的なプロセッサ上で検証済み性能経路を提供します。

Trend MicroのSenior ArchitectであるOrbby Changは、規制業界の組織にとって、コンプライアンス要件を満たしながら新たな脆弱性に先回りして対応することは長年の課題だったと述べています。そのうえで、検証済み暗号と脆弱性管理をより近づける取り組みは、セキュリティコミュニティ全体にとって重要な前進であり、より積極的かつ協調的なアプローチへとエコシステムが進んでいることを示していると評価しています。Chainguardは、自社でFIPS providerを構築・検証することにより、コンプライアンス、暗号技術の近代化、脆弱性修正が分断されずに進化する体制を整えたとしています。その結果、組織はより簡潔で持続性の高いコンプライアンス経路を得られ、検証済み暗号技術が長期にわたり安全で最新の状態に保たれ、監査にも対応できるという確信を持てるようになります。

Chainguardについて
Chainguardは、オープンソースソフトウェア向けにハードニング済みで安全かつ本番利用可能なビルドを提供するセキュリティ企業です。エンジニアやAIエージェントが依存するオープンソース基盤を安全に提供することで、企業がより速く開発を進め、コンプライアンスを維持し、リスクを削減できるよう支援しています。顧客にはAnduril、Canva、Fortinet、Hewlett Packard Enterprise、OpenAI、Snap Inc.、Snowflakeなどが含まれており、Amplify、IVP、Kleiner Perkins、Lightspeed Venture Partners、Mantis VC、Redpoint Ventures、Sequoia Capital、Spark Capitalなどの投資家から支援を受けています。