国防総省クラウドコンピューティングセキュリティ要求事項ガイド
概要
米国防総省 (DoD) データを処理、保存、送信するために AWS のサービスを導入する軍事関係のお客様が増えています。国防組織およびその取引先は、AWS で作成したセキュアな環境で DoD のデータを処理、管理、保存することができます。
国防総省 (DoD) クラウドコンピューティングセキュリティ要求事項ガイド (SRG) に、DoD ユーザーへのサービス提供を可能にする DoD 暫定認証 (Provisional Authorization) をクラウドサービスプロバイダー (CSP) が取得するために必要な評価と認証の標準化されたプロセスが規定されています。AWS が米国国防情報システム局 (DISA) から取得した暫定認証は、AWS が DoD 標準に準拠していることを保証する再利用可能な証明書になるため、DoD ミッションの所有者は、AWS でシステムを運用するために行う評価と認証に要する時間を短縮できます。レベル 2、4、5、6 のセキュリティ統制ベースラインの完全な定義など、SRG について詳しくは、DoD Cloud Computing Security ウェブページの ドキュメントライブラリ をご覧ください。
DoD のお客様にも、AWS アプリケーション環境において DoD セキュリティガイダンスに準拠する責任があります。準拠事項には次のものが含まれます。
• AWS Cloud での DoD-Compliant Implementations ホワイトペーパーに記載されているミッションオーナーの責任
• 関連オペレーティングシステムのセキュリティ技術導入ガイド (STIG) すべて
• 関連アプリケーションの STIG すべて
• DoD ポートとプロトコルに関するガイダンス (DoD Instruction 8551.01)
AWS のインフラストラクチャ、ガバナンス、およびオペレーティング環境はすでに FedRAMP と DoD 認証プロセスによる評価を受け、認証されています。AWS インフラストラクチャでアプリケーションをデプロイするお客様は、AWS の物理面、環境面、およびメディア保護についてのセキュリティ統制を継承するので、これらの統制への準拠状況について詳細に説明する必要はありません。DoD Risk Management Framework (RMF) の他のコントロールについては、AWS とお客様による共有コントロールとなり、それぞれが IT セキュリティ共有モデルの担当部分においてコントロールを実装する責任を引き受けます。
よくある質問
-
AWS のセキュリティの文書とガイダンスを確認するにはどうすればよいですか?
DoD のお客様とベンダーは、AWS の FedRAMP 認証と DoD 認証を利用して、認定と認証を受けるための作業を速めることができます。私たちは、AWS でホストされる軍事システムの認証をサポートするために、DoD セキュリティ担当者に文書を提供しています。それにより、お客様は、該当する NIST 800-53 (Revision 4) 統制および DoD Cloud Computin SRG (Version 1、Release 3) への AWS の準拠を証明できます。
AWS では、AWS を DoD のホスティングソリューションとして使用する場合のセキュリティとコンプライアンスについて、セキュリティのガイダンスと文書をパッケージ化したものを DoD のお客様に提供しています。具体的には、NIST 800-53 (Rev 4) をベースとして、FedRAMP および DoD の該当する統制ベースラインを事前入力した AWS FedRAMP SSP テンプレートを提供しています。お客様が継承する統制は AWS 側でテンプレートに事前入力しています。共有統制は AWS とお客様の両方の責任となり、一部の統制は完全にお客様の責任となります。
DoD の取引相手である軍事組織や請負業者は、AWS アカウントマネージャーに連絡するか、AWS コンプライアンスお問い合わせフォームを送信することによって、AWS セキュリティドキュメントへのアクセスをリクエストできます。AWS パートナーなどの政府機関でないお客様は、AWS Artifact を使用して AWS Partner FedRAMP セキュリティパッケージへのアクセスをリクエストすることができます。
-
AWS に移行するとどのようなメリットがありますか?
政府関連組織のお客様にとって、AWS のクラウドへ移行することは、セキュリティ保証レベルを向上させて運用リスクを軽減する機会になると考えています。AWS 運用環境では、高度なオートメーションによってサポートされる環境でのみ実現可能なレベルのセキュリティとコンプライアンスを確保できます。従来方式のデータセンターでは定期的なインベントリ調査と「特定の時点の」監査を実施するのに対し、AWS では継続的に監査を実施できます。このように環境の可視性が向上することで、データ制御が強化され、許可されたユーザーだけがデータにアクセスできることを継続的に保証できます。
例えば、セキュリティとコンプライアンスに関する DoD のガイドラインがプログラムによって実施されるため、DoD ミッションオーナーは、アプリケーション制御の強化を実感できます。また、AWS では、一般的なアプリケーションのユースケース用に事前に承認したテンプレートを作成しておくことで、新しいアプリケーションの認証に要する時間を短縮できます。テンプレートを使用することで、セキュリティグループやネットワーク ACL といった重要なセキュリティ設定がアプリケーションのオーナーによって変更されることを防止したり、STIG 準拠の確立したマシンイメージのみを使用するように強制したりできます。このようにプログラムによって DoD のセキュリティガイドラインが適用されるため、手動による設定作業が減り、設定ミスや DoD に対する全体的なリスクの低減につながります。
-
ミッションオーナーはどのようにして Authorization to Operate (ATO) を取得できますか?
DoD ミッションオーナーには、アプリケーションに適用されるセキュリティ統制の実装全体を定義する認証パッケージを作成する責任があります。従来の認証パッケージと同様に、セキュリティ統制ベースラインとシステムのセキュリティ計画を文書化し、DoD 組織の認定担当者にその計画と実装状況を審査してもらう必要があります。この審査の中で、通常、認定担当者または認証当局が、セキュリティ統制の実装状況を徹底的に調べて全体像を把握するために AWS 認証パッケージを審査します。認証当局は、お客様のセキュリティ認証パッケージと AWS のセキュリティ認証パッケージを審査したあと、お客様の申請を認定するために必要な情報がすべて揃った時点で ATO を付与します。
AWS を使用する DoD アプリケーションオーナーの責任の詳細については、DoD-Compliant Implementations in the AWS Cloud ホワイトペーパーをご覧ください。
-
DoD クラウドコンピューティング SRG が重要なのはなぜですか?
DoD クラウドコンピューティング SRG は、クラウドコンピューティングの利用を促進するという米国連邦政府の全体的な目標に寄与するとともに、DoD がこの目標を達成するための手段となります。2011 年 2 月 8 日、Office of Management and Budget (OMB) が連邦クラウドコンピューティング戦略を策定し、連邦政府全体にわたってすべての連邦機関がクラウドテクノロジーを導入するためのガイダンスを確立しました。この戦略に続いて、2011 年 12 月には Federal Risk and Authorization Management Program (FedRAMP) を確立する連邦要件が発表されました。FedRAMP は、リスク影響レベルが低、中、高程度の米国連邦政府機関のクラウドデプロイおよびサービスモデルに必須です。
2012 年 7 月、DoD の最高情報責任者 (CIO) が DoD のクラウドコンピューティング戦略を発行しました。これにより、共同情報環境 (JIE) および DoD エンタープライズクラウド環境が確立されました。「DoD のクラウドコンピューティング戦略は、国防総省を現在の状態から最終状態に移行する、つまり、重複が多く、厄介で、コストのかかる一連のアプリケーションサイロから、俊敏で、安全で、コスト効果の高いサービス環境に移行するための方法を導入するものです。これにより、ミッションニーズの変化に迅速に対応できるようになります。DoD の最高情報責任者 (CIO) は、省内においてクラウドコンピューティングの導入を加速させるよう取り組んでいます...」
DoD クラウドコンピューティング SRG は、DoD がクラウドサービスプロバイダー (CSP) の評価に使用する標準化手法を確立する手段として、FedRAMP プログラムを活用します。
-
AWS クラウドサービスは DoD の要件を満たしていますか?
はい。AWS は米国東部リージョンと米国西部リージョン (影響レベル 2)、AWS GovCloud (米国) リージョン (影響レベル 4 と 5)、AWS シークレットリージョン (影響レベル 6) でクラウドサービスプロバイダーとして評価と承認を受けています。
- 影響レベル 2 については、米国拠点の AWS リージョン (AWS GovCloud (米国) および米国東部/西部) が DISA による評価を受け、DoD 要件へのコンプライアンスを実証して 2 件の暫定認証を発行されています。DoD 要件への AWS のコンプライアンスは、既存の FedRAMP 合同認定委員会 (JAB) の Provisional Authorization to Operate (P-ATO) を活用して実現しています。これらの暫定認証を利用して、DoD 機関は AWS のセキュリティを評価し、AWS クラウドで多種多様な DoD データを保存、処理、保守することができます。
- 影響レベル 4 および影響レベル 5 については、AWS GovCloud (米国) が DISA から暫定認証を受けています。これにより、DoD のお客様は、SRG の当レベルに対応する強化された統制ベースラインを使用して本番アプリケーションをデプロイできます。影響レベル 4 または影響レベル 5 の適用を想定している DoD のお客様は、DISA に連絡して承認プロセスを開始する必要があります。
- 影響レベル 6 については、AWS シークレットリージョンが、シークレットレベルまでのワークロードの DoD 暫定認証を取得しています。AWS シークレットリージョンのサービスカタログは、AWS アカウントエグゼクティブから入手できます。
-
対象となるのはどの AWS リージョンですか?
AWS の暫定認証は、AWS GovCloud (米国) (影響レベル 2、4、5)、AWS 米国東部/西部リージョン (影響レベル 2)、AWS シークレットリージョン (影響レベル 6) を含む、米国本土の複数のリージョンに対応しています。
-
どのような等級の DoD システムを AWS に展開できますか?
AWS の米国東部/西部リージョンは影響レベル 2 の暫定認証を取得しています。そのため、ミッションオーナーは、AWS 認証およびミッションアプリケーションの ATO の両方を取得すれば、公的な非機密情報をこれらの AWS リージョンにデプロイすることを許可されます。AWS GovCloud はレベル 2、4、5 の暫定認証を取得しています。そのためミッションオーナーは、これらのレベルに対応する、管理された非機密情報カテゴリの全範囲をデプロイすることを許可されます。AWS シークレットリージョンはレベル 6 の暫定認証を取得しています。最高でシークレット等級までのワークロードが許可されます。
-
DoD ミッションオーナーである私としての意味は何ですか?
AWS が取得した影響レベル 2 の暫定認証によって、DoD のお客様は AWS 準拠のインフラストラクチャとサービスを使用して、公開を許可されたデータや、DoD の機密ではない内部情報を含むワークロードをデプロイできます。DoD IT 環境を AWS に移行することで、AWS によって利用可能になったサービスおよび機能に対するユーザー独自の準拠監視を強化することができます。
AWS GovCloud (米国) が受けた影響レベル 4 と影響レベル 5 の暫定認証は、DoD のお客様が本番アプリケーションを AWS GovCloud (米国) にデプロイできることを意味します。この認証により、DoD クラウド コンピューティング SRG の影響レベル 4 および影響レベル 5 への準拠が必要なワークロードにおいて、お客様が設計、開発、統合のアクティビティを進めることが可能になります。
AWS シークレットリージョンが受けた影響レベル 6 の暫定認証は、DoD のお客様が AWS のサービスを使用してシークレットレベルまでのデータを保存、処理、送信できることを意味します。お客様は、影響レベル 6 で定義されているインフラストラクチャ要件への対応を、すべて AWS の認証に委ねることができます。そのため、お客様はお客様独自の監査やセキュリティ管理などのコンプライアンスと認定に対応できます。
-
AWS 暫定認証はミッションオーナーの ATO にどのように影響しますか?
セキュリティの責任共有の考え方に従って AWS でアプリケーションを運用する場合、DoD ミッションオーナーが責任を持つセキュリティ統制のベースラインは引き下げられます。AWS は、ミッションオーナーがアプリケーションを投入できるように、適切なセキュリティ統制を実装した安全なホスト環境を提供します。ただし、これによって、アプリケーションのデプロイ、管理、モニタリングを DoD セキュリティ統制とコンプライアンスポリシーに従って確実に行うというミッションオーナーの責任がなくなるわけではありません。
AWS を使用する DoD アプリケーションオーナーの責任の詳細については、DoD-Compliant Implementations in the AWS Cloud ホワイトペーパーをご覧ください。
-
他の AWS サービスを使用できますか?
はい。お客様は、他の AWS サービスに適しているかどうかについて、ワークロードを評価できます。各ミッションオーナーには、使用を選択した AWS のサービスのリスクを評価し、受け入れる権限があります。セキュリティ統制とリスク受容の詳細な考慮事項については、AWS コンプライアンスまでお問い合わせください。
-
DoD への準拠によって AWS のサービス料金は上がりますか?
いいえ。AWS のコンプライアンスプログラムの結果として、すべてのサービスにおいてサービスコストが増加することはありません。
-
他の DoD 機関は AWS を現在使用していますか?
はい。現在、多数の DoD 機関、ならびに DoD にシステム統合およびその他の製品やサービスを提供している組織が、幅広く AWS のサービスを使用しています。AWS のシステムで DoD Authorizations to Operate (ATO) を取得したユーザーについて、AWS では情報を開示できませんが、DoD ワークロードの計画、デプロイ、認証、認定に関して、AWS はユーザーおよびその評価者と常に連携しています。
-
ATO にはサービスプロバイダーのデータセンターへの物理的なウォークスルーが必要ですか?
いいえ。DoD のお客様は、データセンターの物理的なセキュリティに対する詳細なオンサイトレビューを含め、当社の FedRAMP 第三者評価機関 (3PAO) による作業に依存することができます。DoD クラウドコンピューティング SRG に従って、DoD のお客様は、既に認証を受けているサービスプロバイダーのデータセンターを実地検証することなく、Authorization to Operate (ATO) を取得できます。
-
どの AWS のサービスが対象ですか?
対象となるサービスの一覧については、コンプライアンスプログラムによる AWS 対象範囲内のサービスウェブページをご覧ください。