FedRAMPの重要性

FedRAMPの重要性
(本ブログ記事は2017/4/10配信のAndrew NielsenによるThe Importance of FedRAMPの抄訳です。)


私は過去17年間、政府機関との作業に多くの時間を費やしてきてセキュリティについて正しく理解しているのですが、より重要なことは認定 (certification) と認証評価 (accreditation) (または政府用語でC&A) です。C&Aはもともと、情報システムにリスク管理の枠組みを適用した国防総省の情報保証評価・承認プロセス (DIACAP; Department of Defense Information Assurance Certification and Accreditation Process) から生まれました。DIACAPは最終的に、このプロセスをさらに標準化したNISTリスク管理フレームワーク (RMF; Risk Management Framework) に移行されました。セキュリティ業界、特に政府機関で従事していた私は、ベンダーがセキュリティの主張をしたとき、それら主張を裏付けるため第三者認証の形で実際の証拠を保持している必要があることを知りました。

従来のスタンドアロンのオンプレミス製品では、この証拠には通常FIPS-140-2の暗号化が含まれていましたが、一般的なセキュリティ要件にはコモンクライテリア (CC; Common Criteria) 認定を用いて処理されていました。これら2つの認定は非常に重要です。暗号化とセキュリティの主張をいつでも裏付けられる一貫した検証基準が提供されているのです。政府機関には、オンプレミスソリューションに対して個別に連邦情報セキュリティマネジメント法 (FISMA; Federal Information Security Management Act) の評価を行うというオプションもありました。しかしこれは通常、他の連邦政府機関には認識されず、拡張性がなく、複数の承認を得るためにベンダーの負担と作業不可が増えてしまいます。そのため、「クラウドのセキュリティ認証をどのように拡張させますか?」という疑問が生じます。

米国連邦政府によるリスクおよび認証管理プログラム (FedRAMP; Federal Risk and Authorization Management Program) は、クラウド製品やクラウドサービスのセキュリティ評価、認可、継続的な監視に対する標準化されたアプローチを提供する政府全体のプログラムです。これにより、クラウドセキュリティソリューションを一度評価すれば、その評価を複数の政府機関で使用できるようになります。FedRAMPは、セキュリティ制御フレームワークの究極の判断基準 (gold standard) であるNIST SP800-53に基づいています。さらに重要なことに、FedRAMPによってDruvaのようなクラウドサービスプロバイダーだけでなく、すべての業種のお客様に対しても、一時点ではなく継続的にセキュリティを測定できる明確かつ一貫性のある手段が提供されます。

SaaSプロバイダーとして、Druvaはクラウドの情報管理に注力しています。私たちは民間部門と公共部門の両方のお客様に対して、データ保護、ガバナンス、コンプライアンスソリューションを提供しています。Druvaに3つあるセキュリティ戦略の柱の一つは信頼性です。Druvaの最高信用責任者 (Chief Trust Officer) として、私がブログを書いてDruvaが特定のセキュリティ機能を実装しているというだけでは不十分です。第三者がこれら主張を実際に検証することも重要です。Druvaは民間部門と公共部門の両組織のセキュリティ要件を満たすために、FedRAMP認証を取得するという選択をし、セキュリティへの責務を果たしました。AWS GovCloud内のDruva inSyncが現在、代理店協力のもとFedRAMP Moderateが「進行中 (in process))」であることを発表できることをうれしく思います。この成果は、Druvaのセキュリティ施策において非常に重要なステップとなります。

FedRAMPの「進行中 (in process))」ステータスを得たことはたしかにDruvaの成果ですが、連邦政府機関から運用権限 (ATO; Authorization to Operation) を取得するための作業がまだあります。他の認定と同様に、これは短期的ではなく、長期的な施策です。Druvaは市場で唯一のクラウドネイティブなデータ保護ソリューションであり、FedRAMPがクラウドサービスプロバイダー向けに正しい方法でセキュリティを実装するための測定可能な手法を提供してくれることに非常にありがたく思います。

次のステップ

FedRAMPの施策が続くにつれて、さらなる情報を提供していく予定です。

fedRamp_img (1)

 

現在のFedRAMPステータスを確認する


FedRAMPの詳細と、政府機関におけるセキュリティ上の問題にクラウドのユニークな機能を活用してDruvaがどのように対処するかについては、Druvaの政府ソリューションページ を参照してください。

0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*