米国政府のクラウド推進政策とサイバーセキュリティを読み解く:ビッグデータ利活用と問題解決のいま(1/3 ページ)
トランプ政権発足後の米国において、ビッグデータ化する政府システムの共通基盤としてクラウド利用を推進する姿勢は変わっていない。今回は、軍事・非軍事分野に関わる政府クラウドの調達基準や技術要件、サービスレベルアグリーメント(SLA)の標準化への取り組みを解説する。
米国連邦政府クラウドの統一セキュリティ基準「FedRAMP」
米国には、「FedRAMP」(Federal Risk and Authorization Management Program、関連情報)という連邦政府共通のクラウドサービス調達のためのセキュリティ基準がある。クラウドサービスプロバイダーが、このプログラムの認証を受けて登録されると、省庁ごとに新たな調達評価の手続きを経ることなく、提供/調達することが可能な仕組みだ。
FedRAMPのベースは、連邦政府の各機関に対して情報および情報システムのセキュリティを強化するためのプログラムの開発・文書化・実践を義務付けた「連邦情報セキュリティマネジメント法」(FISMA=Federal Information Security Modernization Act、2002年12月制定、関連情報)である。同法は、米国国立標準技術研究所(NIST)に連邦政府がFISMAに準拠するための支援をすることを義務付けているほか、国土安全保障省(DHS)配下の情報セキュリティ対策組織である「US-CERT」(United States Computer Emergency Readiness Team)設置の根拠法令ともなっている。
図1は、FedRAMPに関係する連邦政府機関の構成を示している。
図1.「FedRAMP」のステークホルダー構成(出典:General Services Administration「FedRAMP Security Assessment Framework Version 2.1」、2015年12月4日)
標準的な契約用語やサービス・レベル・アグリーメント(SLA)のテンプレート開発などを含むプロジェクト全体の運営は、「連邦政府一般調達局」(GSA=General Services Administration)のFedRAMP PMOが担う。GSAに加えて、国防総省(DoD=Department of Defense)や国土安全保障省(DHS=Department of Homeland Security)から構成される「合同認定委員会」(JAB=Joint Authorization Board)が、調達対象のクラウドサービスを承認する。評価基準や技術要件については、NISTが所管する。具体的なリスク評価基準や要求事項をとりまとめたものが、「FedRAMPセキュリティ評価フレームワーク」(関連PDF)である。
政府調達や予算執行については、「行政管理予算局」(OMB=Office of Management and Budget)が調整する。そして、各省庁の最高情報責任者(CIO)の連絡機関である「CIO協議会」(CIO Council)が戦略統括と省庁間調整を担う。クラウドサービス事業者がFedRAMPの認定を受けるには、FedRAMP認定の第三者評価機関(3PAO=3rd-Party Assessment Organization)による評価報告書を提出し、JABによる承認を受ける必要がある。
2011年12月にFedRAMPが発表された直後は、米国のクラウド事業者や専門家から期待と批判の双方が寄せられていたが(関連記事)、2016年3月28日に承認申請プロセスの迅速化を目的とする「FedRAMP Accelerated」プログラムを発表するなど改善を重ね(図2参照)、採用する政府機関、認定取得製品とも増加傾向にある。
図2.「FedRAMP Accelerated」のプロセス(出典:General Services Administration「FedRAMP Accelerated Process Overview」、2016年3月28日)
関連記事
- ビッグデータ活用の鍵を握る個人データ匿名化の日米比較
個人データの活用において必須とされるのが、本人を特定されないようにするための匿名化だ。今回は匿名化技術の代表例である健康医療分野を例に、日本と米国における匿名化の状況をみていこう。 - 英国のEU離脱問題から考えるビッグデータの管理
2016年6月23日(現地時間)に実施された英国の欧州連合(EU)離脱をめぐる国民投票(Brexit)の結果は、日本を含むグローバル企業におけるビッグデータの運用管理にどのような影響を及ぼすのだろうか。 - IoT標準化にみるビッグデータ連携と階層型のセキュリティとは?
2015年1月に日本情報処理学会がビッグデータとIoT(モノのインターネット)の標準化活動を開始した。一方、米国ではどのような動きが進んでいるのだろうか。 - 米国で進むビッグデータの相互運用性の標準化とセキュリティ
2014年5月にホワイトハウスがビッグデータ報告書を公表して早一年が経ち、米国ではビッグデータに関わるイノベーションと同時に標準化の活動も急ピッチで進んでいる。今回は最前線の動向をお伝えしよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.