米国政府のクラウド推進政策とサイバーセキュリティを読み解く：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

国防総省の要件をクリアするクラウドのセキュリティ対策とは？

　連邦政府機関の中でも、より高いセキュリティレベルが要求される国防・軍事分野では、クラウドサービス事業者およびそのユーザーに対して、国防総省がFedRAMPに独自の要求事項を加味した認証制度を構築している。

　2017年1月13日、Microsoftは、同社のクラウドサービスの「Microsoft Azure Government」（関連情報）と「Office 365 U.S. Government」（関連情報）が、国防総省・国防情報システム局（DISA）のクラウドコンピューティングセキュリティ要求事項ガイド（SRG）に規定されたインパクトレベル5（IL5）の暫定認証を取得したことを公表した。いずれのサービスも、先にFedRAMPの認証を取得しており、この発表でより高度なセキュリティ要件をクリアしたことになる。

　図3は、SRG（本校掲載時点の最新版は2016年3月18日に発行されたVersion 1, Release 2）のインパクトレベルを比較したものである。

図3.クラウドコンピューティングセキュリティ要求事項ガイドのインパクトレベル比較（出典：DoD Defense Information Systems Agency「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」、2016年3月18日）

　インパクトレベルは元来、6段階設定されていたが、現在はレベル2・4・5・6の4段階が使われている。各レベルの概要は以下の通りである。

• インパクトレベル1：一般公開を認められた非機密情報（※現在はレベル2に統合）
• インパクトレベル2：管理されていない非機密情報（FedRAMP認証または同等レベルのパブリッククラウドオファリングであること）
• インパクトレベル3：管理されている非機密情報（※現在はレベル4に統合）
• インパクトレベル4：管理されている非機密情報（FedRAMP Moderateベースラインと国防総省固有のコントロール／要求事項の組み合わせにより認証を受ける）
• インパクトレベル5：管理されている非機密情報でミッションクリティカル／国家安全保障情報（FedRAMP Moderateベースラインと国防総省固有のコントロール／要求事項の組み合わせにより認証を受ける）
• インパクトレベル6：機密情報でSECRET扱いまで（外部運用する国防総省契約先の施設および情報システムの評価および認証を受けたもの）

クラウドセキュリティの要は「多層防御」のエコシステム

　下の図4は、国防総省のクラウドコンピューティングセキュリティ要求事項ガイドより、クラウドサービスの形態別に、政府機関のユーザーとクラウドを提供するベンダーの責任範囲を示している。

図4.セキュリティの継承とリスクの概念的な境界（出典：DoD Defense Information Systems Agency「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」、2016年3月18日）

　先述した国防総省の認証制度は、FedRAMPに独自の「多層防御（Defense-in-Depth）」の概念を加味し、セキュリティを強化している点が特徴だ。図4で示す通り、パッケージソフトウェア、IaaS、PaaS、SaaSによって、ユーザーとベンダーの間の責任分界点が階層別に明確化される。その上で、例えばアーキテクチャに関しては、以下のような項目について要求事項を定めている。

• クラウドアクセスポイント（CAP）
• ネットワークプレーン
• CSPアーキテクチャ
• CSPサービスアーキテクチャ……SaaS
• CSPサービスアーキテクチャ……IaaS/PaaS
• CSP災害復旧（DR）−事業継続（COOP）
• インターネットプロトコル（IP）アドレスとドメイン名サービス
• SaaSを利用するミッションオーナーの要求事項
• IaaS/PaaSを利用するミッションオーナーのシステム／アプリケーション要求事項
• クラウドのためのアクティブディレクトリ統合

　また、CSPを除く国防総省の契約サプライヤー／パートナーがクラウドサービスオファリングを利用する場合は、ミッションオーナーのクラウド利用に関連する要求事項がそのまま適用される。