連邦政府機関の中でも、より高いセキュリティレベルが要求される国防・軍事分野では、クラウドサービス事業者およびそのユーザーに対して、国防総省がFedRAMPに独自の要求事項を加味した認証制度を構築している。
2017年1月13日、Microsoftは、同社のクラウドサービスの「Microsoft Azure Government」(関連情報)と「Office 365 U.S. Government」(関連情報)が、国防総省・国防情報システム局(DISA)のクラウドコンピューティングセキュリティ要求事項ガイド(SRG)に規定されたインパクトレベル5(IL5)の暫定認証を取得したことを公表した。いずれのサービスも、先にFedRAMPの認証を取得しており、この発表でより高度なセキュリティ要件をクリアしたことになる。
図3は、SRG(本校掲載時点の最新版は2016年3月18日に発行されたVersion 1, Release 2)のインパクトレベルを比較したものである。
インパクトレベルは元来、6段階設定されていたが、現在はレベル2・4・5・6の4段階が使われている。各レベルの概要は以下の通りである。
下の図4は、国防総省のクラウドコンピューティングセキュリティ要求事項ガイドより、クラウドサービスの形態別に、政府機関のユーザーとクラウドを提供するベンダーの責任範囲を示している。
先述した国防総省の認証制度は、FedRAMPに独自の「多層防御(Defense-in-Depth)」の概念を加味し、セキュリティを強化している点が特徴だ。図4で示す通り、パッケージソフトウェア、IaaS、PaaS、SaaSによって、ユーザーとベンダーの間の責任分界点が階層別に明確化される。その上で、例えばアーキテクチャに関しては、以下のような項目について要求事項を定めている。
また、CSPを除く国防総省の契約サプライヤー/パートナーがクラウドサービスオファリングを利用する場合は、ミッションオーナーのクラウド利用に関連する要求事項がそのまま適用される。
Copyright © ITmedia, Inc. All Rights Reserved.