米国政府のクラウド推進政策とサイバーセキュリティを読み解く：ビッグデータ利活用と問題解決のいま（3/3 ページ）

[笹原英司，ITmedia]

官民一体型の国防総省クラウドのサイバーインシデント対応

　次の図5は、国防総省クラウドにおけるサイバーインシデントレスポンス体制を例示したものである。

図5.国防総省クラウドのサイバーインシデントレスポンス体制の例（出典：DoD Defense Information Systems Agency「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」、2016年3月18日）

　緊急時に対応する仕組みとして、全体を統括する統合部隊司令部−国防総省情報ネットワーク（JFHQ-DODIN：Joint Force Headquarters - Department of Defense Information Network）と、境界サイバーディフェンス（BCD）、ミッションサイバーディフェンス（MCD）、ミッション管理者、CSP、ミッションオーナー、milCloud（DISAが内部開発したクラウドサービス）から構成されるエコシステムを構築している。

　ここで注意すべきは、高度なセキュリティ機能を備えるクラウドサービスを導入したからといって、ユーザーがセキュリティ／プライバシーに係る全責任を免れることはできない点だ。

　外部クラウドと連携するユーザー側のオンプレミス型システムやアプリケーションソフトウェアについても、同等レベルでセキュリティ要求事項やSLAを設定し、運用していくことが要求される。CSPやユーザーが外部委託するサプライヤー／パートナーも同様だ。クラウドコンピューティングセキュリティ要求事項ガイドに規定されていない部分は、各ステークホルダー間であらかじめ締結したSLAでコントロールすることになる。

日本の課題は政府クラウドのサイバーセキュリティ基準標準化

　ドナルド・トランプ新大統領の政権が発足した2017年1月20日、くしくも最初に閣僚として任命されたのは、政府クラウドのセキュリティの中核を担うマティス国防長官とケリー国土安全保障長官だった。

　サイバーセキュリティが喫緊の課題となる中で、政府クラウドに対する要求事項の高度化が見込まれる。FedRAMPや国防総省クラウドコンピューティングセキュリティ要求事項ガイド（SRG）のように、政府クラウドの標準的なセキュリティ基準が未整備状態の日本にとっても、その動向から目が離せない。

　次回は、サプライチェーンマネジメントからみたビッグデータの動向を取り上げる。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html