クラウドにおける DoD SRG について教えてください



DoD AWS

国防総省 (DoD) データの処理、保存、および送信のために AWS のユーティリティベースのクラウドサービスを導入する軍事分野のお客様が増加しています。

AWS によって、軍事組織およびその取引先は安全な AWS 環境を活用して DoD データの処理、保守、および保存を実行できます。AWS は、国防情報システム局 (DISA) の暫定認証を取得しました。

AWS では、米国東部と米国西部の各リージョン、および AWS GovCloud (米国) リージョンという 2 つの環境において、DoD 暫定認証を取得しています (詳細については下の「よくある質問」をご覧ください)。

DoD のお客様には、AWS アプリケーション環境において、お客様の側でも DoD セキュリティガイダンスを遵守していただく責任があります。以下の内容が含まれます。

• DoD Cloud Computing Security Requirements Guide (SRG) に定義されたミッションオーナー要件
• 関連オペレーティングシステムのセキュリティ技術導入ガイド (STIG) すべて
• 関連アプリケーションの STIG すべて
• DoD のポートとプロトコルに関するガイダンス (DoDI 8551.01)

AWS のインフラストラクチャ、ガバナンス、およびオペレーティング環境はすでに FedRAMP と DoD 認証プロセスによる評価を受け、認証されています。AWS インフラストラクチャでアプリケーションをデプロイするお客様は、AWS の物理面、環境面、およびメディア保護についてのセキュリティコントロールを全面的に継承しているため、これらのコントロール群での準拠状況について詳細に説明する必要はありません。DoD Risk Management Framework (RMF) の残りのコントロールについては AWS とお客様との間で共有され、共有 IT セキュリティモデルで自らの受け持つ部分のコントロールを実装する責任をそれぞれが引き受けます。

AWS のお客様には、AWS の機能と、お客様自身のユーティリティ、ソフトウェア、アプリケーションを含むサードパーティの機能を活用したアプリケーションおよび AWS 環境について、その設計、デプロイ、管理、モニタリングの責任を引き受けていただきます。AWS および AWS のベンダーエコシステムによって提供されるセキュリティ機能を使用することで、組織の関連ポリシーに沿った厳格なコントロールとモニタリングを実施しつつ、高可用性を実現したシステムを構築できます。

DoD のお客様は、認証と認定を受けるための取り組みを速めるために FedRAMP 認証および DoD 認証を利用できます。AWS でホストされる軍事システムの認証をサポートするため、AWS では DoD セキュリティ担当者に対し、800-53 (rev4) および DoD Cloud Computing Security Requirements Guide (SRG) に定義されている、適用される NIST 統制に従って AWS のセキュリティとコンプライアンスを検証する手段として、セキュリティドキュメントを提供しています。

DoD のお客様をサポートするため、AWS を DoD のホスティングソリューションとして使用する場合のセキュリティやコンプライアンスについて理解を深められるよう、セキュリティに関するガイダンスやドキュメントのパッケージを用意しています。特に、NIST 800-53v4 に基づいた AWS FedRAMP SSP テンプレートが用意されており、このテンプレートには該当する FedRAMP および DoD の統制ベースラインが事前入力されています。テンプレート内に継承されたコントロールは AWS によって事前入力されています。共有されたコントロールの責任は AWS とお客様の両方で共有され、一部のコントロールは完全にお客様の責任となります。

軍事組織または DoD の取引先のいずれにせよ、DoD のお客様に関連する AWS のセキュリティドキュメントへのアクセスをリクエストするには、AWS の営業および事業開発までお問い合わせいただくか、awscompliance@amazon.com から AWS チームに直接 E メールをお送りください。

DoD CSM

政府関連組織のお客様は、クラウドへの移行がセキュリティ保証のレベルを向上させ、運用に伴うリスクを軽減させる機会となることをすぐに実感されます。AWS の運用環境では、高いレベルのオートメーションにサポートされた環境でのみ実現可能なセキュリティとコンプライアンスのレベルをお客様が実感できます。従来のデータセンターでは多くの DoD のお客様が、特定の時点で環境のインベントリと監査を周期的に実施していたのとは異なり、AWS ではお客様が継続的な形で監査を実施する能力を備えています。お客様の環境でこのレベルの可視性が実現することにより、データに対するコントロールのレベルは強化され、データにアクセスできるのは承認されたユーザーのみであることを常時保証する能力も高まります。

DoD ミッションオーナーは、DoD のセキュリティとコンプライアンスのガイドラインがプログラム的に適用されていることによる、アプリケーションに対するさらに高いレベルのコントロールを実感できます。AWS の機能を使用して、一般的なアプリケーションのユースケース向けの事前承認テンプレートを作成すれば、新しいアプリケーションの認証にかかる時間を短縮できます。このようなテンプレートの使用により、DoD 関連組織はそのアプリケーションのオーナーによるセキュリティグループやネットワーク ACL といった重要なセキュリティ設定の変更を防止でき、STIG 強化マシンイメージの使用も強制できます。DoD のセキュリティガイドラインがプログラム的に強制されているため、システム管理者の手動設定項目は減少し、不適切な設定の発生確率を大幅に引き下げることができるため、DoD に対する全体的なリスクを軽減できます。連邦政府のお客様は、すでに AWS でさらに高いレベルのセキュリティ保証を達成しています。

他のコンプライアンスプログラムの適用対象のお客様にも、AWS の使用がリスクとコンプライアンスの目標を達成するための大きな助けとなっています。
• HIPAA コンプライアンス: Claritas Genomics では、限られた予算の中で HIPAA 要件を満たすことのできる低コスト IT リソースを必要としていました。
• 金融サービスにおけるコンプライアンス: 拡大を続ける市場規模と規制ルールの変更という課題に直面した FINRA は AWS を採用しました
• 金融サービスにおけるコンプライアンス: NASDAQ では、規制機関が詳細さを増す金融情報にアクセスできるようにする必要がありました。

AWS GovCloud (US) Earns DoD Cloud Computing Level 4 Provisional Authorization

DoD SRG は、CSP が DoD 暫定認証を取得するための、標準化された評価および認証プロセスを提供するために公開されました。取得された暫定認証は DoD のお客様によって活用されます。DoD ガイダンスによる暫定認証は、AWS が DoD 標準に準拠していることを証明する再利用可能な認定となります。これにより、AWS でのシステムのオペレーションを DoD ミッションオーナーが評価して認証するのに必要な時間が節約されます。レベル 2、4、5、6 で定義されるセキュリティ統制ベースラインの完全な定義を含め、SRG に関するその他の情報については、こちらを参照してください。

AWS クラウド DoD

DoD ミッションオーナーであるお客様には、アプリケーションに適用されるセキュリティコントロールの実装を全面的に定義する認証パッケージを構築する責任があります。従来の認証パッケージと同様、システムセキュリティプランによるセキュリティコントロールベースラインをドキュメント化し、DoD 組織からの関連認定担当者によりそのプランと実装状況をレビューしてもらうことが必要になります。このレビューでは、セキュリティコントロールの実装状況を徹底的に調べて全体像を把握するため、アプリケーションのレビューの一環として、認定担当者または認証当局が AWS 認証パッケージのレビューを求める場合があります。AWS とミッションオーナーのセキュリティ認証パッケージを確認した後、認証当局はお客様のアプリケーション認定の決定に必要な情報を得て、ATO を承認することになります。

AWS で運用される DoD アプリケーションオーナーの責任の詳細については、DoD Compliant Implementations in the AWS Cloud ホワイトペーパーを参照してください。

AWS はすでに DoD の認証を受けているクラウドサービスプロバイダーであるため、SRG で確立された FedRAMP+ コントロールに対する評価を受けることが必要です。AWS ではこの評価を既に完了させており、ミッションオーナーが以下の本番ワークロードを移行することを可能にする全面的な IL4 PA を取得しています。

  • 管理指定データのエクスポート
  • プライバシー情報
  • 保護されるべき医療情報
  • 以下の明示的 CUI 指定が必要なその他の情報についても同様
    • For Official Use Only
    • Official Use Only
    • Law Enforcement Sensitive
    • Critical Infrastructure Information
    • Sensitive Security Information
FedRAMP AWS クラウド

SRG は、クラウドコンピューティングの利用を促進するという連邦政府の全体的な目標をサポートすると共に、DoD がこの目標をサポートするための方法を提供します。2011 年 2 月 8 日、Office of Management and Budget (OMB) が連邦クラウドコンピューティング戦略を策定し、連邦政府全体にわたってすべての連邦機関がクラウドテクノロジーを導入するためのガイダンスを確立しました。この戦略に続いて、2011 年 12 月には Federal Risk and Authorization Management Program (FedRAMP) を確立する連邦要件が発表されました。FedRAMP は、リスク影響レベルが低、中、高程度の米国連邦政府機関のクラウドデプロイおよびサービスモデルに必須です。

2012 年 7 月、DoD の最高情報責任者が DoD のクラウドコンピューティング戦略を発行しました。これにより、共同情報環境 (JIE) および DoD エンタープライズクラウド環境が確立されます。「DoD のクラウドコンピューティング戦略は、国防総省を現在の状態から最終状態に移行する、つまり、重複が多く、厄介で、コストのかかる一連のアプリケーションサイロから、俊敏で、安全で、コスト効果の高いサービス環境に移行するための方法を導入するものです。これにより、ミッションニーズの変化に迅速に対応できるようになります。DoD の最高情報責任者 (CIO) は、省内においてクラウドコンピューティングの導入を加速させるよう取り組んでいます...」

DoD SRG は、DoD がクラウドサービスプロバイダーの評価に使用する標準化手法を確立する手段として、FedRAMP プログラムを活用します。AWS は FedRAMP による評価と承認を受け、米国東部および米国西部に対して多数の Agency Moderate ATO が発行され、AWS GovCloud (米国) に対しては FedRAMP JAB High Provisional ATO (pATO) が発行されています。AWS の FedRAMP 準拠の詳細については、FedRAMP のよくある質問ページを参照してください。

はい。AWS はクラウドサービスプロバイダーとして評価を受け、米国東部および米国西部に対しては IL2、AWS GovCloud (米国) に対しては IL4 が承認されています。

レベル 2 では、米国拠点のリージョンすべて (米国東部/西部、および AWS GovCloud (米国)) が DISA による評価を受け、DoD 要件へのコンプライアンスを実証したことで 2 件の暫定認証が発行されました。AWS による DoD 要件への準拠は、既存の FedRAMP Agency ATO および FedRAMP High Baseline pATO を活用することで達成されました。暫定認証により、DoD 機関は AWS のセキュリティを評価でき、AWS クラウド内で多種多様な DoD データの保存、処理、保守が行えます。

レベル 4 およびレベル 5 では、AWS GovCloud (US) で DISA による暫定認証が発行されました。これにより、DoD のお客様は SRG のそれぞれのレベルに対応した、強化されたコントロールベースラインを使用して本番アプリケーションをデプロイできます。IL 4 を希望するアプリケーションをお持ちの DoD のお客様は、DISA と連絡を取り、承認プロセスを開始する必要があります。

AWS の取得した暫定認証は合衆国大陸部のすべてのリージョンをカバーしており、これには AWS GovCloud (米国) (レベル 2 およびレベル 4)、および AWS 米国東部/西部リージョン (レベル 2) が含まれます。

米国東部リージョンと米国西部リージョンはレベル 2 の暫定認証を取得しています。ミッションオーナーはこれらのリージョンにおいて、AWS 認証とミッションアプリケーションの ATO の両方を使用して、公開の非機密扱い情報をデプロイすることが許可されています。AWS GovCloud (US) リージョンはレベル 2、レベル 4、レベル 5 の暫定認証を取得しています。ミッションオーナーにはこれらのレベルに含まれる、管理指定された非機密扱いの情報カテゴリの全範囲をデプロイすることが許可されています。

この認証は、AWS がお客様に提供しているサービスのセキュリティに対する長年の取り組みを確証するものです。認証プロセスを通じて、DoD SRG のセキュリティコントロールに対処していること、および管理方法が DoD ガイダンスに準拠していることが確認されます。SRG IL4 レベルおよび IL5 レベルで評価を受け、DISA による IL4 および IL5 の暫定認証を発行されました。

当社のレベル 2 暫定認証は、AWS のサービスを使用して DoD データの保存、処理、または送信を行う DoD のお客様にとって、監査およびセキュリティ管理を含め、独自の準拠および認定を管理する場合に、AWS インフラストラクチャに対する、レベル 2 で定義されたすべての要件を網羅する認証を信頼できることを意味します。DoD IT 環境を AWS に移行することにより、AWS によって提供されているサービスおよび機能を使用して、独自のコンプライアンス管理を強化できます。

当社の AWS GovCloud (US) でのレベル 4 およびレベル 5 の暫定認証は、DoD のお客様にとって、本番アプリケーションを AWS GovCloud (US) にデプロイできることを意味します。この認証により、DoD Cloud Computing SRG の影響レベル 4 および影響レベル 5 への準拠が必要なワークロードについて、お客様が設計、開発、統合のアクティビティを進めることが可能になります。

AWS 暫定認証

セキュリティの責任共有の考え方に従って AWS でアプリケーションを運用する場合、DoD ミッションオーナーが責任を持つセキュリティコントロールのベースラインは引き下げられます。ミッションオーナーがアプリケーションを動作させるための安全なホスト環境と必要なセキュリティコントロールは AWS によって提供されます。ただし、これによって DoD セキュリティコントロールとコンプライアンスポリシーに従ってアプリケーションを安全にデプロイし、管理し、モニタリングするミッションオーナーの責任が免除されるわけではありません。

AWS で運用される DoD アプリケーションオーナーの責任の詳細については、DoD Compliant Implementations in the AWS Cloud ホワイトペーパーを参照してください。このホワイトペーパーは近い将来に SRG に合わせて改訂される予定です。

はい。お客様は、他の AWS サービスに適しているかどうかについて、ワークロードを評価できます。各ミッションオーナーには、使用を選択した AWS のサービスのリスクを評価し、受け入れる権限があります。セキュリティコントロールとリスク受容の詳細な考慮事項については、AWS の営業および事業開発までお問い合わせください。

いいえ。AWS のコンプライアンスプログラムの結果として、すべてのサービスにおいてサービスコストが増加することはありません。

はい。現在、多数の DoD 機関、ならびに DoD にシステム統合およびその他の製品やサービスを提供している組織が、幅広く AWS のサービスを使用しています。AWS のシステムで DoD ATO を達成したユーザーについて、AWS では情報を開示できませんが、DoD ワークロードの計画、デプロイ、認証、認定に関して、AWS はユーザーおよびその評価者と常に連携しています。

いいえ。DoD SRG によると、DoD のお客様は、当社の認証を活用することで、サービスプロバイダーのデータセンターへの物理的なウォークスルーなしで、ATO を取得できます。DoD のお客様は、データセンターの物理的なセキュリティに対する詳細なオンサイトレビューを含め、当社の FedRAMP 第三者評価機関 (3PAO) による作業に依存することができます。

 

お問い合わせ