2009年だけでCMVPが認証したモジュールは150件超ありますが、対するJCMVPは4件です（2009/12/9時点）。CMVPがスタートしてから3年間は12件しか認証がなかったので、それに比べると3年間で10件は悪くない線ですが、寂しいですね。
JCMVPが悲しい現状を打破するにはどうすれば良いのか。大きく2つの選択肢があると思います。

1. JCMVPを捨ててCMVPの仲間入りをする
2. CMVPにはない独自路線を取り入れる（つまりCMVPとは違うよ、というスタンスを明確にする

1点目はとても簡単です（政治的には難しいでしょうけど）。現在NIST/CSECでやっている認証制度に加えてもらうのです。この場合、FIPS approved algorithmの解釈を広げてもらう必要がありますが、それが無理な場合は、現状の電子政府推奨暗号リストに掲載されているアルゴリズムをいくつかFIPSに底上げするよう、働きかける必要が生じます。でも電子政府委推奨暗号リストのうち、実際使われているのって…を考えるとそこまでつらくない働きかと。

2点目目が私のお薦めです。FIPS 140-3が出る出る言い始めてもう早…年ですが、FIPS 140-3が反映される次のISO/IEC 19790を待ち続ける必要があるのでしょうか。それなりの時間、コストをDPA/SPA等に割いているのは想像に難くない*1のに、それを現行の制度で使わず、FIPS 140-3が出てくるまで、口を開けて待ち続けるのは愚行です。JSOXの時に、ある識者がしきりに「日本初のグローバルスタンダード」を叫んでいました*2が、なぜ、それを目指さないのかが私には分かりません。日本で先行できれば、次のISO/IEC 19790の制定時に発言力が増しますし、実際にコストに見合った投資かを早く判断できるので、次のステップに行けると思うのですが。