Amazon Web Services ブログ
DoD Cybersecurity Maturity Model Certification (CMMC)にみるクラウドコンプライアンスのトレンド(AWS Public Sector Summit Onlineより)
本Blogでは、2021年4月に開催したAWS Public Sector Summit Onlineのブレイクアウトセッションから、セキュリティに関心の高い皆様やクラウドを安全に利活用したいという皆様に海外におけるトレンドをご紹介します。
AWS Public Sector Summit Onlineとは?
AWSが政府機関や自治体などの公共機関、医療や教育分野などを対象に開催している教育イベントです。毎年、米国をはじめ各国で開催されており、2021年はオンラインでの開催となりました。今年の基調講演の様子などはこちらのBlogから確認ができますが、基調講演だけではなく、様々なセッションやスポンサーソリューションの紹介、AWS JAM(ハンズオンでのセキュリティ対応演習)などをお楽しみいただけます。本blog執筆時点(2021年4月23日現在)、無料でご登録いただき、オンデマンドでの配信をお楽しみいただけますし、また基調講演はYoutubeでもご覧いただけます。
ブレイクアウトセッション「Accelerate DoD Cybersecurity Maturity Model Certification (CMMC) with the AWS Cloud」
本セッションでは米国国防総省(Department of Defense: DoD)の新しいサイバーセキュリティ認証であるCyber security Maturity Model Certification(CMMC)に関して、DoDの Chief Information Security Officer, Acquisition and Sustainment であるMs. Katie Arringtonと、AWSの Sr. Manager, Business Development Government Regions であるUlysses Cubillosによって、CMMCの目的や、クラウドを活用したセキュリティの向上、CMMCコンプライアンスに対するAWSの活用をご紹介しています。
CMMCの必要性
CMMCが作られるうえでの背景として、DoDでは年間450億ドルを超えるセキュリティ対策コストや、サプライチェーンの多様化に伴う機密情報を扱う上でのセキュリティ文化の促進の必要がありました。
Katieは”not only understandable, but repeatable and auditable”という言葉で、セキュリティはすべての調達の基礎であり、単なる理解だけではなく、継続的であることや監査を通じた評価が不可欠であることの重要性を挙げています。また、多くのセキュリティの規範はそれぞれ求められる要求等が異なるものであるものの大きな目的は共通しています。一方、ネットワークでつながる現在においては、様々な調達にかかわるサプライチェーンは多様にわたるため、サイバーセキュリティに関する被害や影響が他の事業者や組織に連鎖的に広がるリスクも考慮しなければいけません。とはいえ、同じ基準をそのまま多くの事業者に適用することはイノベーションの促進などを阻害する懸念もあります。こうした中で一貫したセキュリティのモデルを確立したうえで、扱う情報や業務の重要度に合わせた柔軟性を持ち合わせることが重要になってきました。
CMMCの構成と仕組み
そこでCMMCではセキュリティの成熟度を5つに分類し、それぞれを最低限の調達要求(例えばLevel1は17のコストがかからないコントロールを要求)を満たすレベルであるものとし、より高い水準としては、その組織が成熟したセキュリティ文化を持ち自走できる組織であるかを高い説明責任を果たすべきであるものを、自己評価、第三者評価も踏まえた制度として設計しています。Katieは、一過性ではなく継続的なセキュリティを踏まえた成熟度の違いを、”the crawl, the walk and the run”というように人の歩み(這って、歩いて、そして走って)と表現しています。こうした制度を確立させるために評価者を適切に教育し認定するための機関の設立(CMMC-AB)、パイロットプログラムの実施、ロードマップに即した活動を開始しています。
SaaS等の事業者はどのようにセキュリティ要求を満たすべきか
Katieは、こうした要求を中小規模の事業者が満たすためにはすでに高いセキュリティを実現しているクラウドサービス事業者の活用により、事業者自身が満たすべきセキュリティを小さくすることが有効な手段であるとあげています。
AWSのUlysses は、こうした声にこたえて、CMMCの取得が必要なお客様をサポートするためのAWSの二つの取り組みを紹介しています。まずは、AWS Compliant Framework for DoD and federal workloads in AWSGovCloud(US)です。これはリファレンスアーキテクチャ、インプリメンテーションガイド、CloudFormation Templateといったソリューション化された環境や情報を提供することで、CMMCへの準拠を助ける環境を用意に立ち上げることができます。
またAWS CMMC Compliance pageでは、よくある質問やFramework, blogへのリンクなど、AWSのCMMCに関する情報をまとめており、まずはここから理解を深めていくことをお勧めしています。
DoDの取り組みにみられるようたサプライチェーンの多様化の中でコンプライアンス自体がより柔軟性と規律を両立するための取り組みは多くの国や産業で進んでいます。クラウドを効果的に取り入れることがセキュリティを高める重要な要素であるという理解も広まっています。
また、AWSでは、AWSが様々なコンプライアンスプログラムを取得することをゴールとせず、お客様やパートナー様がより高いレベルでのセキュリティを効果的かつ効率的に実現するための様々な取り組みを行っています。本Blogで紹介したCMMCへの取り組みだけではなく、今後も様々なコンプライアンスに対するお客様の懸念を払しょくするための活動を今後もご紹介していきます。
このブログの著者
松本 照吾(Matsumoto, Shogo)
セキュリティ アシュアランス本部 本部長