Canonical、FIPS対応のKubernetesを公開
by Canonical on 15 December 2025
FIPS 140-3暗号化とDISA-STIGハードニングを備えた、FedRAMP対応のKubernetesクラスターとアプリケーションスイートを導入しましょう。
本日、KubeConにおいて、Ubuntuを提供するCanonicalは同社のKubernetesディストリビューションでFIPSモードを有効化するためのサポートを公開しました。これにより、高いセキュリティの導入や連邦政府向けの導入に適したスケーラブルなクラスターの構築と管理に必要なすべての要素を提供します。バージョン1.34以降、Canonical Kubernetesは認証済みの暗号モジュールを使用した内蔵FIPS 140-3機能とともに使用できます。このFIPS機能を備えた導入により、snapパッケージとして導入する際に包括的なドキュメントを用いて簡単にDISA-STIG標準へのハードニングを行うことができます。
アトランタで開催されるKubeConに参加される方は、ブース821でFIPS対応のCanonical Kubernetesについて詳しく知ることができます。
Canonical Kubernetesとは?
Canonical Kubernetesは、高性能で軽量な、安全に設計されたKubernetesのCNCF準拠ディストリビューションです。コンテナランタイム、CNI、DNSサービス、イングレスゲートウェイ、メトリクスサーバーなど、フル機能のクラスターに必要なすべての要素を提供します。Canonical Kubernetesの新バージョンはアップストリームリリースから1週間以内に公開され、長期サポート(LTS)バージョン(2年ごとにリリース)は最長12年間Canonicalによってフルサポートとセキュリティメンテナンスが提供されます。UbuntuとFIPS対応Canonical Kubernetesの長期サポートは、Ubuntu Proサブスクリプションを通じて提供されます。CanonicalのFIPS 140-3準拠Kubernetesは、NVIDIA AI Factory for Governmentリファレンスデザインの一部として利用することもできます。
新機能にアップグレードするオプションで安定性を確保
CanonicalはKubernetesに12年間のサポートを提供する初めてのソフトウェアプロバイダーです。このサポートは、アップストリームのCNCFやその他のベンダーによって提供されるサポート期間を大幅に上回ります。アップストリームのKubernetesは通常はKubernetesコミュニティによってメンテナンスとサポートが約14か月間提供され、リリースは年3回です。それに対して、CanonicalはUbuntu LTSのリリースサイクルに合わせて2年ごとにLTSリリースのメンテナンスを行っています。
従来は、Kubernetesクラスターは一度に1バージョンずつアップグレードしなければなりませんでした。しかし、Canonicalの「中間」バージョンは次のLTSリリース後1年間サポートされます。このため、顧客はクラスターが完全にセキュリティメンテナンスの対象であることをわかっている状態で次のLTSリリースから1年以内にダウンタイムを伴わずにアップグレードできます。
信頼性の高いセキュリティメンテナンス
Kubernetesスタックの各コンポーネントはCanonicalのCVEパッチ適用サービスによって支えられています。当社の専任のセキュリティチームがすべての関連する脆弱性のトリアージを行い、現在サポートされているソフトウェアバージョンへのアップストリームの修正をバックポートし、既存の導入環境を損なうことなく完全に安定した基盤を確保します。
FedRAMPの要件への準拠
Canonicalは2016年からUbuntu向けのFIPS認定暗号化モジュールを公開しています。これらのモジュールは連邦政府部門の顧客やオンプレミスおよびパブリッククラウドにとってきわめて重要であり、幅広いFedRAMPの導入を推進します。Canonical Kubernetesと、認証済みの暗号モジュールを用いた内蔵FIPS 140-3モードにより、顧客はFedRAMPの要件を満たすためのより迅速な直行ルートを手に入れることができます。
FIPS 140-3の機能を使用するには、FIPS対応のUbuntu LTSホストオペレーティングシステム上にKubernetesを導入する必要があります。Canonical KubernetesによってKubernetesのDISA-STIGが有効になります。また、Ubuntu Security Guide(USG)ツールを使用してDISA-STIGガイドラインに沿ってハードニングしたホストOS上に導入できます。さらに、適切なSTIG制御を適用して、ハードニングされたコンテナを組み込みFIPS暗号ライブラリとともに有効化することもできます。Ubuntu STIGのハードニングは連邦政府の環境全体で十分なテストと導入が行われており、FedRAMPのセキュリティ基準を満たすための実証済みの方法となっています。
FIPSモジュールとSTIGハードニングはUbuntu Proサブスクリプションで利用可能です。Ubuntu Proのサブスクリプションはマシン単位で適用されます。つまり、Proが有効化されたホストマシン上で動作しているコンテナ化されたアプリケーションはProトークンが有効になった場合にProに含まれます。
その他の情報
ニュースレターのサインアップ
関連記事
トラブルシューティング
アップストリームの変更でスマートカードのFIPS認証が機能しなくなったときの対処方法 ある行政機関が組織内で運用しているUbuntuデバイスすべてにスマートカード認証を義務付けました。ところがコンプライアンス要件を満たすためにFIPSモードを有効にすると、スマートカード認証の機能が停止してしまい、1,000台近いシステムがFIPS認証への対応を待つことになりました。 Canonicalのサポートチームは、まずOpenSCのアップストリームでの変更が意図せずFIPSとの互換性を損なっていることを突き止めました。次に、すべてのディストリビューションのアップストリームの開発者と連携し、緊急用のホットフィックスと正式な修正の両方を提供しました。このときの対応を以下にご紹介しましょ […]
CanonicalのS3機能でコストを予測、比較、削減
かつて私は、どれだけデータを保存する必要があるかわからないプロジェクトを始める際、パブリッククラウドストレージが便利だと書きました。しかしデータセットが増えるにつれ、パブリッククラウドストレージのコストは膨大になります。このような場合、オンプレミスまたはコロケーションの自社運用ストレージシステムを運用すれば、コスト、性能、セキュリティ、データ主権など多くの面でメリットがあります。この記事では、企業におけるストレージの利用方法をいくつか紹介し、どの程度のコスト削減が見込めるかを解説します。 ストレージワークロードの増加 AWS S3、Azure Blob、GCP GCSといったクラウドコンピューティングサービスでは、演算処理、ストレージ、ネットワーキングのリソースを即座に利 […]
Authd OIDCでUbuntuのID連携を拡張
新しいAuthd OIDCブローカーでUbuntuがさらに多くのIDプロバイダーに対応 Canonicalは本日、Authdに対応する新しい汎用OpenID Connect(OIDC)ブローカーの一般提供を開始しました。企業がアクセス管理のコントロールを一元化する上で、自社のアイデンティティソリューションを選択できることは極めて重要です。そのニーズに応えるのがCanonicalの新しいブローカーsnapです。これにより、標準的なOIDCフローに対応する任意のIDプロバイダーをUbuntu DesktopとUbuntu Serverに統合できます。そしてKeycloakのような自社運用型ソリューションを利用するコミュニティユーザーも、Oktaのようなプラットフォームを活用す […]
