Canonical、FIPS対応のKubernetesを公開
by Canonical on 15 December 2025
FIPS 140-3暗号化とDISA-STIGハードニングを備えた、FedRAMP対応のKubernetesクラスターとアプリケーションスイートを導入しましょう。
本日、KubeConにおいて、Ubuntuを提供するCanonicalは同社のKubernetesディストリビューションでFIPSモードを有効化するためのサポートを公開しました。これにより、高いセキュリティの導入や連邦政府向けの導入に適したスケーラブルなクラスターの構築と管理に必要なすべての要素を提供します。バージョン1.34以降、Canonical Kubernetesは認証済みの暗号モジュールを使用した内蔵FIPS 140-3機能とともに使用できます。このFIPS機能を備えた導入により、snapパッケージとして導入する際に包括的なドキュメントを用いて簡単にDISA-STIG標準へのハードニングを行うことができます。
アトランタで開催されるKubeConに参加される方は、ブース821でFIPS対応のCanonical Kubernetesについて詳しく知ることができます。
Canonical Kubernetesとは?
Canonical Kubernetesは、高性能で軽量な、安全に設計されたKubernetesのCNCF準拠ディストリビューションです。コンテナランタイム、CNI、DNSサービス、イングレスゲートウェイ、メトリクスサーバーなど、フル機能のクラスターに必要なすべての要素を提供します。Canonical Kubernetesの新バージョンはアップストリームリリースから1週間以内に公開され、長期サポート(LTS)バージョン(2年ごとにリリース)は最長12年間Canonicalによってフルサポートとセキュリティメンテナンスが提供されます。UbuntuとFIPS対応Canonical Kubernetesの長期サポートは、Ubuntu Proサブスクリプションを通じて提供されます。CanonicalのFIPS 140-3準拠Kubernetesは、NVIDIA AI Factory for Governmentリファレンスデザインの一部として利用することもできます。
新機能にアップグレードするオプションで安定性を確保
CanonicalはKubernetesに12年間のサポートを提供する初めてのソフトウェアプロバイダーです。このサポートは、アップストリームのCNCFやその他のベンダーによって提供されるサポート期間を大幅に上回ります。アップストリームのKubernetesは通常はKubernetesコミュニティによってメンテナンスとサポートが約14か月間提供され、リリースは年3回です。それに対して、CanonicalはUbuntu LTSのリリースサイクルに合わせて2年ごとにLTSリリースのメンテナンスを行っています。
従来は、Kubernetesクラスターは一度に1バージョンずつアップグレードしなければなりませんでした。しかし、Canonicalの「中間」バージョンは次のLTSリリース後1年間サポートされます。このため、顧客はクラスターが完全にセキュリティメンテナンスの対象であることをわかっている状態で次のLTSリリースから1年以内にダウンタイムを伴わずにアップグレードできます。
信頼性の高いセキュリティメンテナンス
Kubernetesスタックの各コンポーネントはCanonicalのCVEパッチ適用サービスによって支えられています。当社の専任のセキュリティチームがすべての関連する脆弱性のトリアージを行い、現在サポートされているソフトウェアバージョンへのアップストリームの修正をバックポートし、既存の導入環境を損なうことなく完全に安定した基盤を確保します。
FedRAMPの要件への準拠
Canonicalは2016年からUbuntu向けのFIPS認定暗号化モジュールを公開しています。これらのモジュールは連邦政府部門の顧客やオンプレミスおよびパブリッククラウドにとってきわめて重要であり、幅広いFedRAMPの導入を推進します。Canonical Kubernetesと、認証済みの暗号モジュールを用いた内蔵FIPS 140-3モードにより、顧客はFedRAMPの要件を満たすためのより迅速な直行ルートを手に入れることができます。
FIPS 140-3の機能を使用するには、FIPS対応のUbuntu LTSホストオペレーティングシステム上にKubernetesを導入する必要があります。Canonical KubernetesによってKubernetesのDISA-STIGが有効になります。また、Ubuntu Security Guide(USG)ツールを使用してDISA-STIGガイドラインに沿ってハードニングしたホストOS上に導入できます。さらに、適切なSTIG制御を適用して、ハードニングされたコンテナを組み込みFIPS暗号ライブラリとともに有効化することもできます。Ubuntu STIGのハードニングは連邦政府の環境全体で十分なテストと導入が行われており、FedRAMPのセキュリティ基準を満たすための実証済みの方法となっています。
FIPSモジュールとSTIGハードニングはUbuntu Proサブスクリプションで利用可能です。Ubuntu Proのサブスクリプションはマシン単位で適用されます。つまり、Proが有効化されたホストマシン上で動作しているコンテナ化されたアプリケーションはProトークンが有効になった場合にProに含まれます。
その他の情報
ニュースレターのサインアップ
関連記事
バックポートでパッケージのサポート終了を回避
2025年7月、Gitは危険度の高い脆弱性「CVE-2025-48384」の報告を受けました。攻撃者がこの脆弱性を悪用すれば、リポジトリのクローンを作成する際に任意のコードを実行できます。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この脆弱性の実際の悪用事例を確認後、Known Exploited Vulnerabilities(KEV、悪用が確認されている脆弱性)のカタログに追加しました。 この脆弱性の公開時に標準サポート終了を過ぎていたユーザーにとって、選択肢は2つでした。Ubuntu Proのサブスクリプションでセキュリティパッチを入手するか、開発者の作業環境やCI/CDインフラに既知のリモートコード実行(RCE)脆弱性を抱えたまま […]
Canonical、Ubuntu Pro for WSLを発表
Windows環境におけるUbuntu 24.04 LTSのWSLインスタンスにセキュリティメンテナンスとエンタープライズサポートを一括して提供。包括的なシステム管理機能も利用できるサブスクリプションサービス。 Canonicalは本日、Ubuntu Pro for WSLの一般提供を発表しました。Microsoftストアからインストール、ソースコードとベータ版はGitHubからダウンロード可能です。 「CanonicalとMicrosoftは、緊密なパートナーシップを通じてWSLの各種機能を構築しています。この取り組みは、WSLを利用して実運用向けのLinuxソリューションを構築する企業の開発者に有益です。」 Microsoft、WSLプロダクトマネージャー、Craig […]
