BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 合衆国政府のクラウドコンピューティングの評価認定に関する提案

合衆国政府のクラウドコンピューティングの評価認定に関する提案

原文(投稿日:2010/11/25)へのリンク

2週間前、合衆国のCIO協議会のオフィスは合衆国政府のクラウドコンピューティングに対するセキュリティの評価認定に関する提案と題した90ページの提案書を発表した。この提案書は18ヶ月にわたるNIST、SA、ISIMC、CIO協議会の間で行われた作業の成果であり、合衆国政府のクラウドコンピューティングに対するセキュリティ管理と複数の評価認定モデルを審査するために作成されたものだ。この仕事はCIO協議会が連邦政府向けに安全なクラウドコンピューティングサービスを提供するという全体的な目的の最初の一歩である。これは間違いなく今までで最大のプライベートクラウドに関する先進的な取り組みの事例になるだろう。

目的の評価認定、A&Aは3つの主要なセクションに分かれる。これらのセクションにはA&Aを提供するためのフレームワークを作成するためのアイディアが含まれている。合衆国政府はクラウドコンピューティングを3つのモデルを使って定義している。Software as a Service(SaaS)、Platform as a Service(PaaS)、そしてInfrastructure as a Service(IaaS)だ。連邦政府の基準は連邦情報セキュリティマネジメント法(FISMA)と国立標準技術研究所(NIST)とその他の特別な文書によって規定されている。その規定は、セキュリティの認可を利用するとともに政府の透過性と公開性を提供するために"一度許可を与えて、一斉に利用する"という手法を使って、より素早く効率的にクラウドコンピューティングシステムを調達することを促進するように指示している。

クラウドコンピューティングに要求されるセキュリティ基準

下記がNISTの特別文書800-53第3版連邦の情報システムと組織が従うべきセキュリティ制御に記載されているセキュリティ制御の一覧だ。

  1. アクセス制御
  2. 自己啓発
  3. 監査と説明責任
  4. 評価と認定
  5. 構成管理
  6. 偶発事故対策
  7. 識別と認証
  8. インシデントレスポンス
  9. メンテナンス
  10. 媒体保護
  11. 物理的環境保護
  12. パーソナルセキュリティ
  13. リスク評価
  14. システムとサービスの調達
  15. システムと通信の保護
  16. システムと情報の統合

継続的な監視

目的はシステム開発ライフサイクルに動的な継続的監視プログラムを導入することだ。これはセキュリティの管理を開発期間全体に渡って効率的にするためだ。この方法はクラウドコンピューティング環境に対する監視プログラムの変更と修正を行う能力も含んでいる。クラウドサービスプロバイダの定義は緩く、連邦政府がAmazonやMicrosoft、Salesforce.comのようなベンダがサポートするパブリッククラウドを利用するかもしれない可能性も残されている。これは、プライベートクラウドのインスタンス化について書かれているこの提案書の冒頭の要約から漏れていると思われる点であるが、残りの部分では触れられている。

クラウドサービスプロバイダは定期的に次のような報告と提出物を求められる。

  • パッチ管理 - 月次
  • FDCCコンプライアンスの検証 - 四半期毎
  • インシデントレスポンス計画 - 年次
  • POAMの改善 - 四半期毎
  • 変更管理プロセス - 年次
  • 侵入テスト - 年次
  • 管理の第三者による検証および妥当性確認 - 半年毎
  • スキャンによる境界の検証 - 四半期毎
  • システム構成管理 - 四半期毎
  • FISMAの報告 - 四半期毎
  • ドキュメントの更新 - 四半期毎
  • 緊急時対応計画とそのテストレポート - 年次
  • 職務分掌 - 年次
  • 情報セキュリティの自己啓発 - 年次

評価認証方法の案

CIO協議会はクラウドコンピューティングを、他部門と連携していないITを連邦政府の単位まで小さくして、共有システムのための共通のセキュリティ基準を作成するためのいい機会だと見なしている。しかしこれを実施するのは難しい。というのは多くの場合、コスト構造の共有を妨げる機関が予算を確保していたり、コスト構造が見えなくなるような基準があるからだ。CIO協議会がこの障害を克服すれば、クラウドコンピューティングは効率化を押し進め、合衆国の納税者のためにコストを押さえるための大きな一歩になるだろう。FedRAMPが策定されたのもそのためだ。FedRAMPの目的は、

  • 政府が利用する情報システム/サービスが十分な情報セキュリティを保証すること
  • 重複する努力を排除し、リスク管理のコストを低減すること
  • 連邦機関向けの情報システム/サービスを素早く効率的に調達できるようにすること

結論

手短に言えば、この文書はクラウドコンピューティングの取り組みを実践し管理するための全体的なセキュリティと制御の計画を表す。そして、クラウドコンピューティングに適用するための優れたフレームワークを提供できる情報管理のすべての側面は民間部門と世界規模のビジネスによって定義される。この文書は政府によるクラウドコンピューティングの幅広い適用のための新しい確かな一歩だ。

この提案書はパブリックコメント受け付けていた。また、2010年12月2日の深夜までFedRAMPを通じで提案を受け付けている。

この記事に星をつける

おすすめ度
スタイル

BT