ジャンプ先
米国国防情報システム局暫定認証

米国国防情報システム局暫定認証

米国国防情報システム局(DISA)は、米国防衛局(DoD)のクラウド サービスの評価と承認を管理しています。DISA Cloud サービス サポートは、Google Cloud に DoD 影響レベル 5(IL5)の暫定認証(PA)を付与しました。IL5 で認証されると、Google Cloud 固有のプロダクトを使用した、管理対象の非機密情報と国家安全保障システム(NSS)情報の処理と保存が可能になります。

Google Cloud の DISA IL2、IL4、IL5 の各 PA では、お客様が Assured Workloadsプレミアム サポートを使用する必要があります。 Google Workspace の DISA IL4 PA では、お客様が Assured Controls と Assured Support を使用する必要があります。 構成プロセスの詳細については、セールスチームにお問い合わせください。

Google Cloud の DISA IL コンプライアンス

DISA は DoD の機関の 1 つであり、DoD クラウド コンピューティング セキュリティ要件ガイド(SRG)の策定と管理を担当しています。 クラウド コンピューティング SRG は、DoD がクラウド サービス(CSO)のセキュリティ対策を評価するために使用するベースライン セキュリティ要件を定義し、DoD PA を付与する決定をサポートすることで、クラウド サービス プロバイダ(CSP)が DoD のミッションをホストできるようするものです。SRG は、以前に公開された DoD クラウド セキュリティ モデル(CSM)を組み込み、置き換え、取り消して、DoD リスク管理フレームワーク(RMF)にマッピングします。

DISA は、DoDの機関や部門による CSO の使用の計画と承認を支援するほか、CSO が SRG に準拠しているかどうかの評価も行います。これは、CSP が DoD 標準に準拠していることを示すドキュメントを提供できるようにする承認プロセスです。DISA は DoD PA を適宜発行することにより、DoD の機関と下位組織が、独自の完全な承認プロセスを経ることなくクラウド サービスを使用し、時間と労力を節約できるようにしています。

2022 年、Google Cloud は IL5 暫定認証を付与され、ソフトウェア定義コミュニティ クラウド向け DISA 承認を取得した初のハイパースケーラーの 1 つとなりました。 ソフトウェア定義の分離アプローチは、リージョンのデプロイ、スケーラビリティ、費用の点で、従来の行政機関のクラウドよりも柔軟性が高いことを意味します。

ILx パッケージのリクエスト DoD ILx パッケージは、FedRAMP High パッケージをベースとし、DoD 固有のコントロールが追加されています。 ILx パッケージを共有する権限は Google になく、DISA から第三者に提供する必要があります。FedRAMP P-ATO パッケージの対象範囲を超える DoD PA パッケージの詳細を必要としている政府機関は、クラウド評価部門(DISA Ft Meade RE Mailbox Cloud Team)にメール(disa.meade.re.mbx.cloud-team@mail.mil)で問い合わせることができます。

Google Cloud と IL2

IL2 データには、管理対象外の非機密情報、つまり、一般公開が許可されたすべてのデータに加え、管理対象の非機密情報(CUI)には指定されていない機密性の低い重要情報が含まれます。この影響レベルは、CNSSI 1253国家安全保障システムのセキュリティ分類とセキュリティ コントロールに基づく、機密性が低で完全性が中程度(L-M-x)までの非 CUI 分類に対応します。

商用クラウド コンピューティング サービスの取得と使用に関する最新ガイダンスについての 2014 年 12 月 15 日付けの DoD CIO 覚書には、「FedRAMP をすべての DoD クラウド サービスの最低限のセキュリティ ベースラインとして使用する」旨の記載があります。SRG は、すべての情報 IL として FedRAMP Moderate ベースラインを使用し、一部の情報 IL では High ベースラインの使用を検討します。

クラウド コンピューティング SRG のセクション 5.1.1、「DoD による FedRAMP セキュリティ コントロールの使用」には、FedRAMP Moderate または High の暫定認証を最低限保持している CSO で IL2 情報をホストできることが規定されています。DoD IL2 PA については、FedRAMP Moderate または High ベースラインのコントロールのみが評価されます。IL2 PA について DoD は、FedRAMP 共同認証委員会(JAB)が発行する FedRAMP Moderate または High の暫定運用認証(P-ATO)との完全な互恵関係を認めています。Google Cloud の FedRAMP コンプライアンスについて詳しくは、FedRAMP のページをご覧ください。 

Google Cloud での IL4 または IL5 ワークロードのホスティング

IL4 と IL5 のワークロードは、Assured Workloads を介してデプロイできます。これにより、データ所在地とサポートに関する高度な要件を満たすセキュリティ管理が可能になります。Assured Workloads は、大規模な組織がコンプライアンスを維持できるようにデベロッパー向けガードレールも適用します。

お客様が IL4 または IL5 認証済みサービスを選択した場合、Google は、サービス固有の構成ガイドを通じて、またはプロフェッショナル サービス組織の IL4 および IL5 エキスパートと直接連携して、ソリューションの構成を支援できます。また、Terraform コードを含む IL4 Springboard デプロイガイドも提供しています。

Google Cloud を使用して IL4 および IL5 環境にソリューションをデプロイすることを検討しているお客様は、Assured Workloads を使用する必要があります。 Assured Workloads では、Google Cloud サービスを使用して、機密性の高いワークロードを確実に保護して構成し、コンプライアンスとセキュリティの要件に対応できます。Assured Workloads は、パブリック クラウド データセンターと異なる物理インフラストラクチャには依存せず、代わりに、コスト、スピード、イノベーションの面でメリットのあるソフトウェア定義コミュニティ クラウドを提供します。 

Assured Workloads を通じて提供される IL4 および IL5 認証済みサービスでは、IL4 および IL5 のセキュリティ コントロールが実装され、お客様は Google Cloud の機能を使用して組織のニーズを満たすことができます。Assured Workloads では、Assured Workloads モニタリングを使用して IL4 および IL5 ワークロードのコンプライアンス状態を可視化することもできます。このツールにより、コンプライアンス違反を特定して修正し、コンプライアンス状態の管理証明書を監査人に提供することができます。

Assured Workloads は、Google Cloud インフラストラクチャの IL5 暫定認証を活用したコントロールに加えて、IL4 および IL5 の政府データを扱うお客様向けに、次の主要な IL4 および IL5 コントロールもデフォルトで実装しています。

  1. IL4 および IL5 の顧客データ所在地を米国に制限するガードレールを設定
  2. テクニカル サポート スタッフを米国内の IL4 および IL5 認定担当者に制限
  3. 保存中と転送中のデータに FIPS-140-2 準拠の暗号化の使用を必須化
  4. 顧客データに日常的にアクセスする担当者を対象に、IL4 および IL5 に必要な人員アクセス制御を実装
  5. デベロッパーが IL4 および IL5 準拠のプロダクトやサービスのみを使用するように制限
  6. IL4 および IL5 要件をサポートする、対象範囲内のコンプライアンス境界を論理的に分類

Google Workspace と IL4

Google Workspace Enterprise Plus エディションは、米国国防総省(DOD)の影響レベル 4 の認証を取得しています。仕事効率化とコラボレーションのソリューションとして Google Workspace をデプロイすることを検討しているお客様は、組織がクラウド サービス プロバイダのアクセスをきめ細かく制御できるようにするアドオン機能である Assured Controls を使用する必要があります。

Assured Controls が有効になった Google Workspace Enterprise Plus には、DoD のお客様が IL4 準拠を達成し、独自の運用認証(ATO)を発行できるようにする組み込みのセキュリティ コントロールと機能セットが含まれています。IL4 コンプライアンスをサポートする Google Workspace の主な機能は次のとおりです。

  • データ リージョンのみを使用して、データを米国リージョンに制限する機能
  • Assured Controls アクセス管理を使用して、Google スタッフによるサポート対応を米国の Google サポートチーム メンバーに制限制限する機能
  • センシティブ データの暗号化ニーズを満たす、保存データおよび転送中データの高度な暗号化。詳しくは、Google Workspace の暗号化に関するホワイトペーパーをご覧ください。
  • Google Workspace セキュリティ センター。セキュリティに関する詳細情報や、ドメインに影響を与えるセキュリティ上の問題の分析情報を提供します。

国防総省のお客様は、eMASS または DISA リエゾンを通じて Google Workspace IL4 ドキュメントをリクエストできます。Google Workspace がこのドキュメントをお客様に直接提供することはできません。

対象範囲内のサービス

Google Cloud

BigQuery

Cloud HSM

Cloud Identity

Cloud Logging

Cloud Key Management Service

Cloud Storage

Compute Engine

Dataflow

Google 管理コンソール

GKE

Identity and Access Management

Persistent Disk

Virtual Private Cloud

Artifact Registry

Cloud Composer

Cloud DNS

Cloud Functions

Cloud Interconnect

Cloud Monitoring

Cloud Router

Cloud Run

Cloud SQL

Cloud Tasks

Cloud VPN

Eventarc

Memorystore for Redis

Pub/Sub

Google Cloud

BigQuery

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Logging

Cloud Monitoring

Cloud Pub/Sub

Cloud Router

Cloud Storage

Cloud SQL

Cloud VPN

Compute Engine

Dataflow

Dataproc

Google 管理コンソール

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Virtual Private Cloud

カレンダー

ドキュメント

ドライブ

フォーム

Gmail

Google Chat(Google ドライブ Bot、Meet Bot を含む)

Google Meet

スプレッドシート

スライド

お客様は、実装ガイドラインを参照して、IL4 で承認された Workspace サービスのリストを取得できます。

図形描画

新規のサイト

カレンダー

ドキュメント

ドライブ

Gmail

Google Meet

スプレッドシート

スライド

Vault

App Engine

BigQuery

Cloud Bigtable

Cloud Composer

Cloud Functions

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud NAT

Cloud Run

Cloud Spanner

Cloud SQL

Cloud Storage 

Cloud VPN

Cloud Router

Compute Engine 

Dataflow

Dataproc

Filestore

Firestore

Google 管理コンソール

Google Kubernetes Engine(GKE)

Identity and Access Management

Memorystore for Memcache

Memorystore for Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection(Cloud Data Loss Prevention を含む)

Speech-to-Text

Text-to-Speech

Virtual Private Cloud

IL2 の対象となるサービスの一覧については、FedRAMP コンプライアンスのページをご覧ください。

Cloud Load Balancing(L4 ILB)

Cloud Load Balancing(L7 ILB/XLB)

Cloud Load Balancing(ネットワーク ロード バランシング)

Cloud Vision

Firestore

よくある質問

政府関連のワークロードに Google Cloud を使用するメリットの 1 つは、必要な多くのコントロールが、Google の基盤となるインフラストラクチャと Assured Workloads にすでに組み込まれていることです。そのため、認証のために IL4 または IL5 パッケージを提出するときは、Google によって管理されているコントロールの概要を示した Google の SSP も含める必要があります。セールスチームに連絡して、Google Cloud の SSP を入手してください(NDA が必要)。

Google Cloud では通常、お客様がアクションをほとんどまたはまったく実行せずに、認証済みプロダクトにすでに備わっている暗号化機能を関連データ(保存データと使用データの両方)で使用できます。Google Cloud のストレージ システムとネットワークはいずれも IL4 および IL5 PA を取得しているため、Google Cloud のお客様が管理する必要のある責任の量が軽減されます。

認証済みシステムに保存されるデータは、FIPS 140-2 認定ライブラリ(認定 #3678、#3383、#3384)を使用して自動的に暗号化されます。このシステムで使用される暗号鍵も NIST 800-57 に従って保存および保護され、Google 独自の KMS システム内に安全に保管されます。お客様は Cloud KMS を介してこのシステムを制御できます。

Google Cloud VPC 内でのデータ転送も IL4 と IL5 で認証されており、暗号化、認証、認可で自動的に保護されます。VPC 内の接続には、これ以上の対応は必要となりません。 Google API への接続では、トラフィックの暗号化に TLS 1.2 以降が使用されます。お客様は、お客様が管理しているリソース(Cloud ロードバランサや Cloud VPN など)を経由する環境内外のその他の接続(レイヤ 3 または 7 のいずれか)について責任を負います。

Google は、商用パブリック クラウド サービスで IL4 および IL5 を達成した最初のハイパースケールの商用クラウド プロバイダの一つであり、IL4 および IL5 サービスを提供する最大規模のプロバイダの一つでもあります。

関連リソース

  • NIST SP 800-37 情報システムと組織のリスク管理フレームワーク: セキュリティとプライバシーのためのシステム ライフサイクル アプローチ
  • NIST SP 800-53 情報システムと組織のセキュリティとプライバシーの管理
  • NIST SP 800-59 国家安全保障システムとしての情報システムの特定に関するガイドライン
  • NIST SP 800-171 連邦政府以外のシステムおよび組織における管理対象の非機密情報の保護
  • CNSSI 1253 国家安全保障システムのセキュリティ分類とセキュリティ コントロール

関連プロダクトとサービス

NIST 800-53
NIST 800-53
独立系第三者評価を受け、NIST 800-53 統制に準拠して動作する Google Cloud サービスをご覧ください。
NIST 800-171
NIST 800-171
独立系第三者評価を受け、NIST 800-171 に準拠していることが確認されている Google Cloud サービスをご覧ください。
FedRAMP
FedRAMP
Google Cloud は、Google Cloud および Google Workspace プロダクトに対する FedRAMP High と FedRAMP Moderate P-ATO を保持しています。

次のステップ

$300 分の無料クレジットと 20 種類以上の無料枠プロダクトを活用して Google Cloud での構築を開始しましょう。

無料で開始

次のステップ

プロジェクトを開始してインタラクティブなチュートリアルを確認し、アカウントを管理しましょう。

お問い合わせ