米国への製品調達に必須の FIPS 140-3 対応と国際標準規格 CC 認証取得による AlmaLinux の「信頼」の付加価値

～ 「AlmaLinux のセキュリティ機能評価と認証」登壇レポート～

2026 年 2 月、年に 1 度日本で開催される AlmaLinux の大規模イベント「AlmaLinux Day Tokyo 2026」が富士通本社（川崎市）で開催されました。サイバートラストは 2023 年、米国を拠点とする非営利団体 AlmaLinux OS Foundation に日本企業として初のプラチナスポンサーとして参画し、コミュニティメンバーと協働して AlmaLinux の共同開発を行っています。当社社員は日本 AlmaLinux ユーザー会の立ち上げメンバーを務め、国内 AlmaLinux ユーザーと世界のコミュニティ活動をつなげるなど、オープンソースコミュニティの円滑な運営に貢献しています。

会場には 80 人を超える参加者が集まり、米国本部から来日した AlmaLinux OS Foundation チェアの benny 氏と同 Foundation のリードアーキテクト Andrew 氏が、長期的な安定性と信頼性を重視する日本の IT 市場と AlmaLinux の親和性、サイバー攻撃や AI の普及など社会の変化にも対応強化を進めるコミュニティ活動の最新動向について基調講演を行いました。

トークセッションでは、日本 AlmaLinux ユーザー会に参加する 4 社・1 団体が AlmaLinux の活用事例やコミュニティの発展に有益な知見を参加者と共有し、参加者が熱心にメモを取る姿も見られました。最終セッションを務めたのが、当社副社長 佐野 勝大による講演「AlmaLinux のセキュリティ機能評価と認証 ～FIPS140-3 認証、CC 認証取得への取り組み～」です。CentOS の後継サーバー用 Linux OS として採用が加速する AlmaLinux では、エンタープライズ利用で重要視されるセキュリティ機能を強化しています。今後ますます重要性を増す " セキュリティ標準 " への対応について、 AlmaLinux で対応している国際的な評価・認証規格 FIPS140-3 と Common Criteria(ISO/IEC15408) 認証の概要を解説しました。
ランサムウェア攻撃が猛威をふるう昨今、サイバーセキュリティ対策の甘さや情報格差は、フィッシング詐欺や情報漏えいといった被害増大を招くリスクを高めます。セキュリティ対策強化の一助に、講演内容の一部をご紹介します。

「安全・安心なサイバーセキュリティの仕組みづくりは喫緊の課題であり、企業の『信頼』の軸となります 。
国際標準に基づいた AlmaLinux の安全性の高さを証明していくことが重要」と、サイバートラスト副社長の佐野

1. なぜ今、FIPS 140-3 対応が重要なのか？

本トークセッションの大きなテーマの一つが、FIPS 140-3 への対応です。 FIPS（Federal Information Processing Standards）は、 米国政府が定める情報処理の標準規格であり、 中でも FIPS 140-3 は暗号モジュールのセキュリティ要件を定めた国際規格となります。 「FIPS-140-3 認証がなければ、暗号モジュールを使用する機器は米国政府に納入できません。実際に、グローバルな公共・防衛・重要インフラ分野では、製品やシステムが採用されないケースも増えています」と国外の動向について語る佐野。FIPS 140-3 では、従来の暗号強度だけでなく、鍵管理やファームウェア（電子機器に組み込まれたコンピュータシステムを制御するためのソフトウェア）更新を含む運用面、モジュール全体のセキュリティレベルなど、実運用を前提とした高度なセキュリティへの対応が求められます。

講演資料から抜粋

＜ AlmaLinux 9.2 が示した大きな一歩＞

• 提供する価値：AlmaLinux 9.2 は、FIPS 140-3 認証を 2025 年 10 月に取得し、さらに、AlmaLinux 9.6 についても、現在 FIPS 140-3 認証プロセスに入っています。認証取得により、IT パートナーに対し、米国政府だけでなく、その基準に準拠する日本の防衛、重要インフラ、公共機関、金融、医療といった高度なセキュリティが要求される市場への参入機会を提供します。
• 競争優位性：エンタープライズ領域で事業展開を図る上で、OS が FIPS 140-3 認証の基準に対応していることは必須条件となります。この認証を取得した AlmaLinux を提供できることは、信頼性の点において、競合企業に対する優位性になり得ます。将来的なバージョン変更にも継続的に認証を取得する方針を明確にしており、長期的な信頼性の確保を目指している点も評価できます。

「『無償で提供される Linux OS が、国際的な政府調達レベルの暗号要件を満たした』 という点で、
AlmaLinux 9.2 の FIPS 140-3 認証取得は非常に大きな意味を持ちます」と熱を込める佐野

2. コミュニティ主導の OS に第三者評価の「CC 認証」で信頼性と国際標準で担保された安全性を付加

サイバートラストでは、 FIPS 140-3 対応に加え、 IT 製品全体のセキュリティ機能を評価する国際標準規格である CC（Common Criteria: ISO/IEC 15408）認証の取得にも AlmaLinux OS Foundation のメンバーとして取り組んでいます。CC 認証の取得により、OS 全体のセキュリティ要求が国際規格のレベルで満たされていることが証明できます。

講演資料から抜粋

1. 提供する価値：多くの顧客は「ライセンス無償の OS を使ってセキュリティの確保は大丈夫か？」という懸念を抱きがちです。CC 認証は、顧客の最大の不安を払拭する、信頼性の高い第三者評価 となります。
2. 高度な安全性：CC 認証は、AlmaLinux が単なるコミュニティベースの OS ではなく、「国際的なセキュリティ評価基準を満たしたエンタープライズグレードの OS」であることを示します。これにより、パートナーは「コストメリットのある OS」という側面だけでなく、「国際標準で担保された安全性」という強力な根拠をもって、ミッションクリティカルなシステムへの採用を提案できるようになります。

3. 長期的な国際標準への対応により、安心・安全な長期ビジネスを支援

佐野は、AlmaLinux OS Foundation を立ち上げた米国 CloudLinux が FIPS 140-3 認証取得に向けて取り組んでいることも補足します。

• 提供する価値：この継続的なコミットメントは、パートナーが顧客に提供するソリューションの長期的な安定性を保証します。セキュリティ基準が厳格化する中で、OS のバージョンアップごとにセキュリティ認証の再評価リスクを心配することなく、安心して長期のサービス提供やシステム構築に集中できる環境が整います。

「皆さんと一緒につくりあげていく OS として、 長く安心して使い続けてもらえる存在でありたい」と今後の目標を熱く語る佐野。FIPS 140-3 および CC 認証への取り組みは、セキュリティと信頼性が最優先される公共・エンタープライズ市場において、AlmaLinux を戦略的なコア製品として位置づけるための大きな付加価値となります。 AlmaLinux は今、 " 無償 OS" の枠を超えた新たなスタンダード へと進化を続けています。