古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

米国政府のクラウド推進政策とサイバーセキュリティを読み解く

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/01/26
米国政府のクラウド推進政策とサイバーセキュリティを読み解く: 「FedRAMP」のステークホルダー構成(出典:General Services Administration「FedRAMP Security Assessment Framework Version 2.1」、2015年12月4日) © ITmedia エンタープライズ 提供 「FedRAMP」のステークホルダー構成(出典:General Services Administration「FedRAMP Security Assessment Framework Version 2.1」、2015年12月4日)

 米国には、「FedRAMP」(Federal Risk and Authorization Management Program、関連情報)という連邦政府共通のクラウドサービス調達のためのセキュリティ基準がある。クラウドサービスプロバイダーが、このプログラムの認証を受けて登録されると、省庁ごとに新たな調達評価の手続きを経ることなく、提供/調達することが可能な仕組みだ。

 FedRAMPのベースは、連邦政府の各機関に対して情報および情報システムのセキュリティを強化するためのプログラムの開発・文書化・実践を義務付けた「連邦情報セキュリティマネジメント法」(FISMA=Federal Information Security Modernization Act、2002年12月制定、関連情報)である。同法は、米国国立標準技術研究所(NIST)に連邦政府がFISMAに準拠するための支援をすることを義務付けているほか、国土安全保障省(DHS)配下の情報セキュリティ対策組織である「US-CERT」(United States Computer Emergency Readiness Team)設置の根拠法令ともなっている。

 図1は、FedRAMPに関係する連邦政府機関の構成を示している。

 標準的な契約用語やサービス・レベル・アグリーメント(SLA)のテンプレート開発などを含むプロジェクト全体の運営は、「連邦政府一般調達局」(GSA=General Services Administration)のFedRAMP PMOが担う。GSAに加えて、国防総省(DoD=Department of Defense)や国土安全保障省(DHS=Department of Homeland Security)から構成される「合同認定委員会」(JAB=Joint Authorization Board)が、調達対象のクラウドサービスを承認する。評価基準や技術要件については、NISTが所管する。具体的なリスク評価基準や要求事項をとりまとめたものが、「FedRAMPセキュリティ評価フレームワーク」である。

 政府調達や予算執行については、「行政管理予算局」(OMB=Office of Management and Budget)が調整する。そして、各省庁の最高情報責任者(CIO)の連絡機関である「CIO協議会」(CIO Council)が戦略統括と省庁間調整を担う。クラウドサービス事業者がFedRAMPの認定を受けるには、FedRAMP認定の第三者評価機関(3PAO=3rd-Party Assessment Organization)による評価報告書を提出し、JABによる承認を受ける必要がある。

 2011年12月にFedRAMPが発表された直後は、米国のクラウド事業者や専門家から期待と批判の双方が寄せられていたが、2016年3月28日に承認申請プロセスの迅速化を目的とする「FedRAMP Accelerated」プログラムを発表するなど改善を重ね(図2参照)、採用する政府機関、認定取得製品とも増加傾向にある。

●国防総省の要件をクリアするクラウドのセキュリティ対策とは?

 連邦政府機関の中でも、より高いセキュリティレベルが要求される国防・軍事分野では、クラウドサービス事業者およびそのユーザーに対して、国防総省がFedRAMPに独自の要求事項を加味した認証制度を構築している。

 2017年1月13日、Microsoftは、同社のクラウドサービスの「Microsoft Azure Government」と「Office 365 U.S. Government」が、国防総省・国防情報システム局(DISA)のクラウドコンピューティングセキュリティ要求事項ガイドに規定されたインパクトレベル5(IL5)の暫定認証を取得したことを公表した。いずれのサービスも、先にFedRAMPの認証を取得しており、この発表でより高度なセキュリティ要件をクリアしたことになる。

 図3は、SRG(本校掲載時点の最新版は2016年3月18日に発行されたVersion 1, Release 2)のインパクトレベルを比較したものである。

 インパクトレベルは元来、6段階設定されていたが、現在はレベル2・4・5・6の4段階が使われている。各レベルの概要は以下の通りである。

・インパクトレベル1:一般公開を認められた非機密情報(※現在はレベル2に統合)

・インパクトレベル2:管理されていない非機密情報(FedRAMP認証または同等レベルのパブリッククラウドオファリングであること)

・インパクトレベル3:管理されている非機密情報(※現在はレベル4に統合)

・インパクトレベル4:管理されている非機密情報(FedRAMP Moderateベースラインと国防総省固有のコントロール/要求事項の組み合わせにより認証を受ける)

・インパクトレベル5:管理されている非機密情報でミッションクリティカル/国家安全保障情報(FedRAMP Moderateベースラインと国防総省固有のコントロール/要求事項の組み合わせにより認証を受ける)

・インパクトレベル6:機密情報でSECRET扱いまで(外部運用する国防総省契約先の施設および情報システムの評価および認証を受けたもの)

●クラウドセキュリティの要は「多層防御」のエコシステム

 下の図4は、国防総省のクラウドコンピューティングセキュリティ要求事項ガイドより、クラウドサービスの形態別に、政府機関のユーザーとクラウドを提供するベンダーの責任範囲を示している。

 先述した国防総省の認証制度は、FedRAMPに独自の「多層防御(Defense-in-Depth)」の概念を加味し、セキュリティを強化している点が特徴だ。図4で示す通り、パッケージソフトウェア、IaaS、PaaS、SaaSによって、ユーザーとベンダーの間の責任分界点が階層別に明確化される。その上で、例えばアーキテクチャに関しては、以下のような項目について要求事項を定めている。

・クラウドアクセスポイント(CAP)

・ネットワークプレーン

・CSPアーキテクチャ

・CSPサービスアーキテクチャ……SaaS

・CSPサービスアーキテクチャ……IaaS/PaaS

・CSP災害復旧(DR)−事業継続(COOP)

・インターネットプロトコル(IP)アドレスとドメイン名サービス

・SaaSを利用するミッションオーナーの要求事項

・IaaS/PaaSを利用するミッションオーナーのシステム/アプリケーション要求事項

・クラウドのためのアクティブディレクトリ統合

 また、CSPを除く国防総省の契約サプライヤー/パートナーがクラウドサービスオファリングを利用する場合は、ミッションオーナーのクラウド利用に関連する要求事項がそのまま適用される。

●官民一体型の国防総省クラウドのサイバーインシデント対応

 次の図5は、国防総省クラウドにおけるサイバーインシデントレスポンス体制を例示したものである。

 緊急時に対応する仕組みとして、全体を統括する統合部隊司令部−国防総省情報ネットワーク(JFHQ-DODIN:Joint Force Headquarters - Department of Defense Information Network)と、境界サイバーディフェンス(BCD)、ミッションサイバーディフェンス(MCD)、ミッション管理者、CSP、ミッションオーナー、milCloud(DISAが内部開発したクラウドサービス)から構成されるエコシステムを構築している。

 ここで注意すべきは、高度なセキュリティ機能を備えるクラウドサービスを導入したからといって、ユーザーがセキュリティ/プライバシーに係る全責任を免れることはできない点だ。

 外部クラウドと連携するユーザー側のオンプレミス型システムやアプリケーションソフトウェアについても、同等レベルでセキュリティ要求事項やSLAを設定し、運用していくことが要求される。CSPやユーザーが外部委託するサプライヤー/パートナーも同様だ。クラウドコンピューティングセキュリティ要求事項ガイドに規定されていない部分は、各ステークホルダー間であらかじめ締結したSLAでコントロールすることになる。

日本の課題は政府クラウドのサイバーセキュリティ基準標準化

 ドナルド・トランプ新大統領の政権が発足した2017年1月20日、くしくも最初に閣僚として任命されたのは、政府クラウドのセキュリティの中核を担うマティス国防長官とケリー国土安全保障長官だった。

 サイバーセキュリティが喫緊の課題となる中で、政府クラウドに対する要求事項の高度化が見込まれる。FedRAMPや国防総省クラウドコンピューティングセキュリティ要求事項ガイド(SRG)のように、政府クラウドの標準的なセキュリティ基準が未整備状態の日本にとっても、その動向から目が離せない。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon