クラウドにおける CJIS について教えてください

 

 

AWS での CJIS

AWS は FBI の Criminal Justice Information Services (CJIS) 標準に準拠しています。また、CJIS セキュリティポリシーに沿って従業員の必要な身元調査を許可および実行するなどの内容を盛り込んだ、CJIS セキュリティ契約をお客様と締結しています。

AWS では、CJIS ポリシー対象範囲に合わせたセキュリティ計画テンプレートで、Criminal Justice Information Services (CJIS) ワークブックを作成しています。

法執行機関 (および CJI を管理するパートナー) のお客様は、AWS の各種サービスを利用し、アクティビティのログ記録 (AWS CloudTrail)、移動中および保管中のデータの暗号化 (S3 のサーバー側暗号化、お客様のキーを使用することも可能)、キーの包括的な管理と保護 (AWS Key Management Service と AWS CloudHSM)、ならびに統合された権限管理 (IAM のフェデレーテッド認証管理と多要素認証) といった AWS のセキュリティの高度なサービスと機能を使用して、CJI データのセキュリティと保護を劇的に向上させています。


CJI は、FBI CJIS から提供される生体認証、アイデンティティ履歴、および個人、組織、資産、訴訟/事故の履歴といったデータで、法執行機関が任務を実行し、法律を施行するのに必要です。また、雇用を決定する際に使用するデータなど、民間機関が任務を実行するのに必要なデータを指すこともあります。

CJIS Compliance on AWS

CJIS Workbook for AWS

CJIS セキュリティポリシーと要件 (以下、"ポリシー") では、Criminal Justice Information (以下、"CJI") の合法的な使用と適切な保護に関する FBI CJIS、CJIS Systems Agency (CSA)、および State Identification Bureaus (SIB) の間での責任共有モデルについて明記しています。ポリシーでは、現行および予定されているサービスに関するセキュリティ要件の基準を規定し、新しい取り組みに対する最低基準を定めています。AWS では、ポリシーと調和して、クラウドサービスプロバイダーとしての責任を果たし、AWS の各種サービスによって、AWS の IT 環境で CJIS 要件に準拠する手段を提供しています。

はい。CJIS に関係するお客様のニーズを満たすため、AWS クラウドインフラストラクチャは、最も柔軟で安全なクラウドコンピューティング環境の 1 つとなるように設計されてきました。お客様は、CJIS セキュリティポリシーの要件に確実に準拠したアプリケーション、データ、サービスをデプロイできます。

AWS CJIS Security Policy Workbook

AWS の他のコンプライアンスフレームワークと同様、CJIS ポリシーでは AWS と AWS のお客様の間での責任共有モデルを使用しています。CJIS セキュリティ要件に適合するクラウドサービスを使用することにより、お客様の環境が自動的に CSP のセキュリティ体制の対象となるわけではありません。AWS を使用する際には、以下の必要があります。

  • ポリシー要件を確認して、お客様の環境に直接該当する項目を特定する
  • それらの各要件に対応するためのソリューション (必要な場合) を実施する
  • 該当する制御要件に照らしてそのソリューションを評価および監査する
  • AWS CJIS ワークブックを使用して CJIS ドキュメントをお客様の機関に提出し、確認と CJIS の正式な承認を受けてください。

最後に、お客様の CJIS ワークロードをサポートするための重要なポイントがいくつかあります。

  • セキュリティは責任の共有 – AWS でお客様の環境やデータを管理することはありません。つまり、インフラストラクチャ内でセキュリティ要件を実施する責任は AWS にあるものの、該当する CJIS セキュリティポリシー要件を AWS 環境内で実施する責任はお客様にあるということです。
  • 保管中のデータの暗号化が必須 – この重要なソリューションを実施するために、AWS ではキーに関係するいくつかの重要なリソースを提供しています。AWS では、お客様をサポートするソリューションアーキテクトや保管中のデータの暗号化に関するホワイトペーパーを準備して、確実なソリューションを実装するのに必要なリソースを提供できるよう努めています。
  • AWS インフラストラクチャに適用される CJIS セキュリティポリシー要件については、AWS で直接対応します。お客様がすべてを管理する AWS のセルフプロビジョンドプラットフォームについては、CJIS セキュリティポリシーに対して AWS で直接対応することはありません。ただし、AWS では、お客様のニーズを満たすうえで必要な世界第一級のクラウドセキュリティとコンプライアンスを維持するよう、最大限の努力を払っています。AWS では、FedRAMP 認定 3PAO によるデータセンターのオンサイト監査が組み込まれた FedRAMP などのサードパーティ評価フレームワークのサポートを受け、該当する CJIS 要件へのコンプライアンスを実証しています。
  • AWS では、責任共有モデルの理念に基づいて、CJIS ポリシー対象範囲に合わせた CJIS セキュリティポリシーワークブックを (システムセキュリティ計画テンプレートで) 提供しています。このワークブックは、お客様による CJIS 要件の実施と各要件に対する AWS のアプローチをお客様が体系的に文書化するのをサポートする (および、ドキュメントを提出して確認と承認を受ける方法のガイダンスとなる) ものです。このワークブックはすべてのお客様にご利用いただけます
  • AWS では、CJIS ワークロードのサポートとして、以下のような複数の組み込みセキュリティ機能を提供しています。
    o AWS Identity and Access Management (IAM) と多要素認証を使用した安全なアクセス
    o AWS から提供される方法またはお客様が保守する方法によるデータストレージの暗号化
    o S3 のログ記録AWS CloudTrailAmazon CloudWatch、および AWS Trusted Advisor でのログ記録とモニタリング
    o AWS CloudHSMAWS Key Management Service (KMS) でのお客様の制御によるキーの一元管理

AWS がサポートする多くのコンプライアンスフレームワークとは異なり、CJIS には、中心となる承認機関、公認独立審査機関、および特定のソリューションが "CJIS 準拠" であると見なされるかどうかを判断する標準化された評価アプローチがありません。つまり、すべての法執行機関で利用できる標準化された "CJIS 準拠" ソリューションは存在しません。

代わりに、CJIS の承認を与える各法執行組織が、独自のリスク受容基準に沿って、CJIS 要件への準拠と考えられるソリューションから特定のものを "CJIS 準拠" であると解釈します。ある州の承認が別の州で (場合によっては、同じ州の中でも) 有効と見なされない可能性があるため、プロバイダーはソリューションを提出して承認機関の各担当者に確認してもらうこと (フィンガープリントを複製しておくことができます)、背景チェックをすること、他の州や管轄区域に特有の要件を確認することなどが必要です。

各承認は特定の組織のみとの合意であるため、地域によっては法執行機関ごとに同じ手続きを繰り返す必要があります。州や機関によって CJIS 準拠の定義が異なるため、AWS で "CJIS 準拠" のソリューションを列挙することはできません。ある州や機関で AWS が CJIS 準拠であると判断されたとしても、すべての法執行部門に適用される CJIS 認証はありません。

もちろんいます。いくつかのパートナーソリューションでは、法執行処理に関連するデジタル形式の証拠 (動画や音声ファイルなど) を収集、転送、管理、および共有しています。また、AWS には、州、郡、および都市の複数の法執行機関について、電子的な証明書をそれぞれの場所で作成し、承認を得る方法を確立し、発行するという電子証明書サービスを提供しているパートナーもいます。さらに、AWS では、法執行に対する信頼と透明性を構築するために公式ポータルで公開するデモ、市民集会、日常的な警察官のやり取りに関する警察動画の管理において、法執行機関をサポートしています。

 

お問い合わせ