AIエージェントによるデータアクセスにおけるFIPS 140-3暗号化の重要性
規制対象データに対してAIエージェントを導入している多くの組織は、暗号化対策が十分だと考えています。APIコールはTLSを使用し、保存データにはAES-256が使われています。モデルホスティングプロバイダーのセキュリティページにも暗号化について記載があります。これで「要件クリア」と思いがちです。
しかし、実際は違います。コンプライアンスの観点では不十分です。CMMC SC.3.177はFIPS認証済みの暗号技術を要求しており、「強力な暗号」ではなく「認証された暗号」が必要です。HIPAAの2025年セキュリティ規則改正ではePHIの暗号化が義務化され、認証済み暗号モジュールの使用が求められています。FedRAMP Moderateも全体でFIPS 140認証済み暗号化を要求します。要件は「AES-256を使うこと」ではなく、「NISTによってAES-256の正しい実装として認証された暗号モジュールを使うこと」です。この違いが、現在AIエージェント導入で多くの組織が基準を満たせていない理由です。
本記事では、FIPS 140-3認証の本当の意味、AIエージェントのデータ経路がどのように暗号化の抜け穴を生むのか、そして認証済み暗号化が認証済みIDやABACポリシーと並ぶ、規制AI導入に不可欠な3つ目のガバナンス基盤である理由を解説します。
エグゼクティブサマリー
主なポイント:FIPS 140-3認証は暗号強度の等級ではありません。特定の暗号モジュール(ソフトウェアライブラリ、ハードウェアデバイス、ファームウェアコンポーネント)が、認定ラボでテストされ、NISTによって承認された条件下で認可された暗号アルゴリズムを正しく実装していると認証されたことを示します。未認証のAES-256を使うAIエージェントのデータ経路はFIPS準拠ではありません。すべての転送・保存ポイントでFIPS 140-3認証済みモジュールを使う経路のみが準拠となります。
なぜ重要か:AIエージェントの推論パイプラインには、ほとんどの組織がFIPS認証状況を確認していない複数のデータ転送・保存ポイント(APIゲートウェイ、モデルホスティング環境、ベクターデータベース、一時推論キャッシュ、出力配信チャネル)が存在します。それぞれが暗号化の抜け穴となり得ます。防衛請負業者にとってはCMMC SC.3.177の指摘事項、医療機関ではHIPAAセキュリティ規則違反、連邦請負業者全体ではFISMAやFedRAMPのコンプライアンス違反となります。必要な評価はシンプルですが、多くの組織がAIインフラで未実施です。
主なポイント
- FIPS 140-3認証はモジュールの認証であり、アルゴリズム仕様ではありません。「このシステムはAES-256を使っているか?」ではなく、「このシステムでAES-256を実装している暗号モジュールがNISTのCryptographic Module Validation Programリストに掲載されているか?」が問われます。認証されていない実装はFIPS要件を満たしません。
- AI推論パイプラインには複数の転送・保存ポイントがあり、それぞれ独立した評価が必要です。アプリケーションからAPIゲートウェイへのTLS接続、ゲートウェイからモデルホストへの接続、モデルの一時作業メモリ、ベクターデータベース、出力キャッシュなど。アプリケーション層でFIPS認証を確認しても、下流のすべてのコンポーネントで認証されているとは限りません。
- マルチテナント型クラウドAIインフラは、デフォルトでFIPS認証の証明書を提供することはほとんどありません。汎用の商用AIプラットフォームは、連邦暗号認証要件を満たすために設計されていません。これらのプラットフォームを規制対象データワークフローで利用する場合、FIPSモジュール認証証明書の提出を求める必要がありますが、多くの場合提出できません。
- FIPS 140-3は新規認証においてFIPS 140-2を置き換えています。NISTは2021年9月にFIPS 140-3へ移行しました。FIPS 140-2のみを参照している組織やベンダーは、現行規格で再認証されているか確認が必要です。新規調達ではFIPS 140-3認証を明記すべきです。
- 認証済み暗号化は、ガバナンススタックの耐久性を支えるレイヤーです。認証済みIDとABACポリシーによる制御は不正アクセスを防ぎます。認証済み暗号化は、データが意図しない経路を通っても読まれないことを保証します。3つの制御は相互補完的で、それぞれ異なるリスクに対応します。暗号化だけでアクセス制御がなければ、アクセス権を得た者がデータを読めてしまいます。アクセス制御だけで認証済み暗号化がなければ、転送中に傍受されたデータが読まれてしまいます。
FIPS 140-3認証の本当の意味
Federal Information Processing Standard 140-3(FIPS 140-3)は、機密情報を保護するために使用される暗号モジュールのセキュリティ要件を定めた米国政府の規格です。NISTがCryptographic Module Validation Program(CMVP)を通じて運用しています。モジュールは、認定第三者ラボで規格要件に基づきテストされ、NISTが最終的な認証証明書を発行することで認証されます。
認証は4つのセキュリティレベル(レベル1:基本要件・ソフトウェアのみも可~レベル4:最高の物理的セキュリティ、改ざん検知・応答機能)に分かれます。多くの規制対象エンタープライズアプリケーション(医療、金融、防衛請負など)では、FIPS 140-3レベル1認証が適用要件です。重要なのは、どのレベルでも「承認アルゴリズムを使っている」だけでなく、「実際にモジュールがテスト・認証されている」ことが必要だという点です。
認証が保証するのは、モジュールが承認アルゴリズムを正しく実装していること、鍵管理機能が正しく実装されていること、モジュールのセルフテストが仕様通り動作すること、セキュリティドキュメントが正確かつ完全であることです。逆に、認証は「そのモジュールを使うシステム全体が安全である」ことまでは保証しません。FIPS認証済み暗号モジュールを使っていても、システム全体のセキュリティが不十分なら安全とは言えませんが、CMMC、HIPAA、FedRAMP、NIST 800-171が求める暗号要件は満たします。
FIPS 140-2とFIPS 140-3の違い
NISTは2021年9月にCMVPをFIPS 140-3へ正式に移行し、FIPS 140-2認証は2026年9月以降新規申請で受け付けなくなります。多くの既存ベンダー認証は依然としてFIPS 140-2を参照している点に注意が必要です。現在の調達やコンプライアンス評価ではFIPS 140-3が適用規格であり、AIインフラベンダーのセキュリティドキュメントが旧規格を参照している場合は特に区別が重要です。
自社のセキュリティは万全だと信じていませんか?その証明はできますか?
Read Now
AIエージェントパイプラインが生む暗号化の抜け穴
規制環境下の典型的なAIエージェントデータ経路は、ほとんどのコンプライアンス評価で想定されているよりも多くの転送・保存ポイントを含みます。それぞれがFIPS認証の抜け穴となり得ます。暗号化が存在しないからではなく、使用されている暗号モジュールが認証されていない場合があるためです。
| パイプライン構成要素 | リスクのあるデータ | 一般的な認証ギャップ |
|---|---|---|
| アプリケーションからAPIゲートウェイ | エージェントのリクエストペイロード内の規制対象データ | TLS実装がFIPS認証済みでない標準OpenSSLビルドの場合がある |
| APIゲートウェイからモデルホスト | 推論用に取得された規制対象データを含むプロンプトコンテキスト | クラウドプロバイダー内部の転送が認証済み暗号化境界外の場合が多い |
| モデル推論環境 | 推論中の作業コンテキストウィンドウ内の規制対象データ | GPUメモリや推論ランタイムは通常FIPS認証がない |
| ベクターデータベース(RAG) | 検索用に使われる規制対象データの埋め込み表現 | ベクターデータベースの暗号化が未認証ライブラリの場合が多い |
| 一時出力キャッシュ | 規制対象データを含む、または派生したエージェント出力 | キャッシュストレージが未暗号化、または未認証暗号化の場合が多い |
| 出力配信チャネル | 下流システムやユーザーへの最終エージェント出力 | FIPS認証済みモジュールを確認できない標準TLSで配信される場合がある |
実務上の意味:アプリケーション層でFIPS 140-3認証済み暗号化を導入していても、主要なデータストアや通信で認証済みモジュールを使っていても、その上に重ねたAI推論パイプライン全体では暗号化の認証が全く担保されていない可能性があります。主要データストアのFIPS認証状況は、AIエージェントが利用するAPIゲートウェイ、モデルホスト、ベクターデータベース、出力キャッシュの認証状況を保証しません。
マルチテナントクラウドの課題
汎用商用AIプラットフォーム(主要なLLM API、AIオーケストレーションサービス、ベクターデータベースベンダー)は、広範なエンタープライズ導入を想定して設計されており、連邦暗号認証コンプライアンスのためではありません。セキュリティドキュメントには暗号化や業界標準アルゴリズム、各種セキュリティ認証の記載があっても、AI推論時に規制対象データを扱う各コンポーネントで使われている暗号モジュールのNIST CMVP認証証明書は通常含まれていません。
これは構造的なギャップです。商用AI市場はFIPS 140-3要件を満たすように設計されておらず、多くのベンダーはCMVP認証済みモジュールを標準機能として維持していません。防衛請負業者や連邦機関は、FedRAMP認可クラウドサービスや政府専用製品で主要システムの対応を進めてきましたが、AI推論層まで評価を拡張している例はほとんどありません。
AIエージェント導入時の暗号化ギャップの評価と解消方法
1. エージェントデータ経路上のすべての暗号化境界をマッピング
AIエージェントパイプライン内で、規制対象データが転送または保存されるすべてのポイント(データソースからエージェントオーケストレーション層、APIゲートウェイ、モデルホスティング環境、検索用データベース、出力処理、最終配信まで)を完全にマッピングします。それぞれのポイントで暗号化を提供する暗号モジュールを特定します。これはアルゴリズムを特定するのとは異なり、そのアルゴリズムを実装している具体的なソフトウェアライブラリやハードウェアモジュールを特定する必要があります。
2. 各モジュールのCMVP認証状況を確認
特定した各暗号モジュールを、NIST CMVP認証済みモジュールリスト(csrc.nist.govで公開)と照合します。リストに掲載されていない、または認証が失効しているモジュールは、どんなアルゴリズムを実装していてもFIPS準拠ではありません。ベンダー提供インフラの場合は、CMVP証明書番号を直接要求してください。規制対象データを扱う暗号モジュールについてCMVP証明書番号を提出できないベンダーは、そのコンポーネントでFIPS認証済み暗号化を提供していません。
3. ギャップと是正計画の文書化
認証済み暗号化がない、または未確認のパイプライン構成要素ごとに、ギャップ内容、リスクのある規制対象データ、該当するコンプライアンス要件を文書化します。この文書は、是正ロードマップの定義と、組織が必要なリスク評価を実施し、ギャップ解消計画を持っていることを評価者に示す役割を果たします。CMMC評価を受ける組織は、この文書を事前に用意しておくべきです。これは予測可能な証拠要求です。
4. AIベンダー契約にFIPS 140-3認証要件を追加
規制対象データを扱うインフラを提供するAIベンダーとの契約には、FIPS 140-3モジュール認証要件を盛り込みます。これは、主要ストレージ層だけでなく、そのデータを扱うすべての構成要素での認証を明記する必要があります。また、認証済みモジュールの更新・交換・認証状況の変更時にベンダーから通知を受けることも要件に含めてください。CMVP証明書はバージョンごとに発行され、ソフトウェア更新で以前の認証が無効になる場合があるためです。
KiteworksによるAIエージェントデータアクセスのFIPS 140-3認証済み暗号化
Kiteworksプライベートデータネットワークは、すべての転送・保存データに対してFIPS 140-3レベル1認証済み暗号化を基盤としています。この認証は、AIエージェントが規制対象データとやり取りする全データ経路をカバーしており、主要ストレージ層だけでなく、規制対象データを扱うガバナンスアーキテクチャ内のすべての構成要素を対象としています。
AIエージェントがKiteworks経由で規制対象データにアクセスする際、すべての転送・保存操作で認証済み暗号モジュールが使われます。人による規制対象データアクセスを保護するのと同じ認証済み暗号化が、AIエージェントアクセスにも自動的に適用されます。これは、ガバナンス層がエージェントとデータの間に位置し、すべてのデータやり取りがその層を通過する設計だからです。AI専用の暗号化評価は不要で、FIPS認証はアーキテクチャ上AIエージェントデータアクセスにも拡張されます。
防衛請負業者にとっては、AIエージェントによるCUIのやり取りに対しSC.3.177が満たされ、CMVP証明書の提出もC3PAO評価者に直接可能です。医療機関では、2025年HIPAAセキュリティ規則改正による暗号化義務がAIエージェントによるPHIアクセスにも適用されます。連邦請負業者全体では、KiteworksプラットフォームのFedRAMP Moderate認可が、同プラットフォーム経由のAIエージェントワークフローにも拡張されます。
認証済み暗号化は、最も目立つAIガバナンス制御ではありませんが、すべてのデータやり取りの根底で機能します。これにより、認証済みIDやABACポリシーによる制御が、転送中にデータが読まれてしまうリスクによって損なわれることがありません。3つの制御(ID、ポリシー、認証済み暗号化)が揃って初めて、AIエージェントによる規制対象データのやり取りが防御可能となります。KiteworksのコンプライアントAIについて詳しく知りたい方は、デモを予約してください。
よくあるご質問
CMMC SC.3.177はFIPS認証済み暗号技術、つまりNISTのCMVP認証済みモジュールリストに掲載されている暗号モジュールの使用を要求しています。未認証実装のAES-256を使っても要件は満たしません。C3PAO評価者はアルゴリズム説明ではなくCMVP証明書番号の提出を求めます。AIインフラベンダーがCUIを扱う構成要素について証明書を提出できなければ、暗号強度に関係なくSC.3.177の指摘事項となります。
2025年改正では、ePHIを転送中・保存中ともに認証済み暗号モジュールで暗号化することが求められます。AIエージェント導入の場合、PHIを扱う推論パイプライン内のすべての構成要素(APIゲートウェイ、モデルホスト、ベクターデータベース、出力キャッシュなど)でFIPS認証済み暗号化が必要です。HIPAAセキュリティ規則の要件は、主要ストレージだけでなくデータ経路全体に適用されます。
ベンダーが規制対象データを扱う各構成要素で使用している暗号モジュールごとに、NIST CMVP証明書番号を要求してください。その番号をcsrc.nist.govのCMVP認証済みモジュールリストで照合します。「FIPS準拠」や「AES-256」と説明するだけで証明書番号を提示できない場合、FIPS 140-3認証を証明したことにはなりません。証明書番号だけが認証状況を検証できる唯一の証拠です。
自動的には拡張されません。FedRAMP認可は認可されたサービス境界内に適用されます。AI推論構成要素(オーケストレーション層、APIゲートウェイ、モデルホスティング、ベクターデータベースなど)は、FedRAMP認可プラットフォーム上に追加した場合、そのプラットフォームの認可境界外となり、個別のFIPS認証評価が必要です。基盤プラットフォームのFedRAMP認可は強力な基盤となりますが、上位AI構成要素の認証の代替にはなりません。
3つの制御は異なるリスクに対応します。認証済みIDと委任チェーンは、適切に認可されたエージェントだけが規制対象データにアクセスできるようにし、不正アクセスを防ぎます。ABACポリシー制御は、認可されたエージェントであっても、その時点のワークフローで必要なデータだけにアクセスできるようにします。認証済み暗号化は、ネットワーク上の攻撃者や推論パイプライン内の未認可構成要素による転送中データの傍受を防ぎます。各レイヤーは他のレイヤーがカバーできないギャップを埋め、3つが揃うことで、いずれか1つのレイヤーで障害が起きても全体が破綻しないガバナンススタックとなります。
追加リソース
- ブログ記事
手頃なAIプライバシー保護のためのゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている