Red Hat OpenShift AI: FIPS 向けの設計、信頼性とイノベーションを提供

Red Hat OpenShift AI 2.21 以降のバージョンは、連邦情報処理標準 (FIPS) 向けに設計されています。これは Red Hat の取り組みを示すものであり、当社は、組織が最高レベルの信頼性とコンプライアンスを維持しながら AI ワークロードのデプロイや管理を可能にする強力なセキュリティ体制を備えたエンタープライズグレードの AI プラットフォームを提供することに取り組んできました。

本記事は、この新しい FIPS 機能について紹介する 2 部構成のブログシリーズの第 1 回です。パート 1 では OpenShift AI の取り組みについて説明し、パート 2 では米国連邦セクターの AI プラットフォームにおける FIPS についての実践的な議論を行います。 

お客様にとってのメリット

この OpenShift AI の「FIPS 向けの設計」は、とくに厳格なセキュリティとコンプライアンス要件を抱える組織に次のような多くのメリットをもたらします。

• テストの強化：バージョン 2.21 以降の OpenShift AI のすべてのリリースで、FIPS モードの OpenShift クラスターで追加のテストを実施します。
• コンプライアンスの最適化： 政府機関や規制が適用される業界では、FIPS 環境での作業が単純化されています。OpenShift AI は、FIPS モードの OpenShift クラスターでの AI 運用に必要な基盤を提供します。
• ハイブリッドクラウド全体での一貫性： OpenShift AI をオンプレミスで実行している場合でも、FIPS 対応のクラウド環境で実行している場合でも、一貫したセキュリティ機能とコンプライアンス機能が期待できます。

「FIPS 向け設計」とは

多くの政府機関や規制が適用される業界では、FIPS 140 への準拠は単なるベストプラクティスではなく、厳格な義務付けになっています。FIPS は暗号化モジュールに厳格な基準を設定し、検証済みの暗号化方法で機密データを保護します。

OpenShift AI が「FIPS 向けに設計されている」ということは、基盤となるコンポーネントが構築およびテストされていることを意味します。そのため、OpenShift AI が FIPS 対応の OpenShift クラスターにデプロイされた場合、その暗号化操作では、基盤となる Red Hat Enterprise Linux (RHEL) オペレーティングシステムによって提供される FIPS 検証済みの暗号化モジュールが使用されます。

OpenShift AI の「FIPS 向け設計」への道のり

これを達成したことは、当社のエンジニアリングチームの献身と専門知識を証明するものです。これに伴い、OpenShift AI のすべてのレイヤーが FIPS 要件に準拠していることを検証するための包括的な取り組みを実施しました。この取り組みの鍵となったのが、次の 3 つの重要な要素です。

1.Universal Base Image (UBI) 9 へのアップグレード

OpenShift AI のコンテナイメージの基盤は、Red Hat Universal Base Image (UBI) 9 に完全にアップグレードされました。RHEL 9 をベースとする UBI 9 は、多数のセキュリティ強化と、何よりも堅牢な FIPS 対応の暗号化スタックを提供します。UBI 9 で標準化することで、OpenShift AI のコンポーネントで使用される暗号化プリミティブが、RHEL 9 にある FIPS 140 で検証済みモジュールでサポートされていることを確認できます。これにより、すべての OpenShift AI ワークロード向けに安全で一貫した基盤が提供されます。

2.FIPS コンプライアンスに関連する Go コンパイラーフラグの設定

OpenShift AI のコンポーネントの多くは Go で記述されています。これらの Go バイナリーが RHEL の FIPS 検証済み暗号ライブラリを正しく使用するように、Red Hat のエンジニアリングチームは、関連するすべての Go コンパイラーフラグを設定しました。つまり、当社のコンパイル済みバイナリーは、Go の標準暗号化モジュールを使用するのではなく、RHEL が提供する FIPS 検証済みの OpenSSL ライブラリと適切に統合し、これを活用します。これは FIPS モードで動作するソフトウェアの基本要件であり、暗号化操作は厳格な FIPS 標準に従って実行されます。

3.FIPS モードのクラスターのリリーステストへの重点的な取り組み

過去のリリースでは FIPS クラスターで OpenShift AI をテストしましたが、すべてのコンポーネントが FIPS で検証済みの暗号モジュールを排他的に使用するように構築されているわけではありませんでした。したがって、当社のテストは主に、このようなクラスター上での OpenShift AI の機能の検証に焦点を当てていました。現在、FIPS に準拠するように設計されたコンポーネント (FIPS 以外の暗号化操作が試行された場合は失敗する可能性がある) が備わっているため、このモードでのテストの重要性は増しています。 

OpenShift AI 2.21 リリースでは、テストにいくつかの機能強化を追加しました。まず、すべてのコンテナイメージが上記のルールに従って構築されていることを確認するために、静的検証を実行します。次に、既存の回帰テストのフルセットを実行して、コンポーネント間の通信にエラーがないことを検証します。3 番目に基本的な健全性テストを実行します。Fraud Detection ワークショップ のような既知の公開ワークショップをいくつかの変更を加えて使用し、トランスポート層セキュリティ (TLS) 要件をサポートするエンドポイントのみと通信していることを確認します。

このテストへの重点強化が FIPS 環境と非 FIPS 環境の違いを浮き彫りにした例として、FIPS 対応クラスター上の OpenShift AI が外部システムと連携する必要がある場合が挙げられます。たとえば、アーティファクトが外部のオブジェクト・ストレージ・サービスに保存されている場合、この外部サービスは、EMS サポート付きの TLS v1.2 または TLS v1.3 を使用して接続する機能を提供する必要があります。この詳細と、これらのオプションが利用できないシナリオが生じた場合に利用できるオプションについては、Red Hat の「The TLS Extended Master Secret and FIPS in Red Hat Enterprise Linux」という記事を参照してください。

将来を見据えて

Red Hat OpenShift AI の「FIPS 向けの設計」のステータスは、高度なセキュリティと単純化されたコンプライアンスツールを備えた AI ソリューションを提供するという当社の取り組みを前進させる重要な一歩です。Red Hat は、政府や業界の規制が絶えず進化していることを理解しており、当社の製品のセキュリティとコンプライアンスの強化に引き続き投資していきます。

規制が適用される業界のお客様に、Red Hat OpenShift AI の新機能を体験し、「FIPS 向けに設計された」基盤を使用して、自信を持って AI イニシアチブを推進されることをお勧めします。OpenShift Container Platform および OpenShift AI を使用した FIPS モードの設定に関する詳細については、公式ドキュメント を参照してください。

Red Hat では、セキュリティと信頼を常に最優先として、エンタープライズ AI の限界を押し広げていきます。さらなるイノベーションに期待してください。

その他の情報

• FIPS - 連邦情報処理標準
• RHEL コア暗号化コンポーネント
• FIPS モードでの OpenShift Container Platform のインストール