コンテンツに移動
セキュリティ & アイデンティティ

政府およびセキュリティのコンプライアンス認証を世界全体で推進

2021年4月20日
Google Cloud Japan Team

※この投稿は米国時間 2021 年 4 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

COVID-19(新型コロナウイルス感染症)のパンデミックを経験する中で、公共機関がデジタル サービスを利用して働き方やコミュニティへのサービス提供の手法を変革することの重要性がかつてなく高まっています。仮想環境内での業務の遂行により、世界中の公共機関の組織的なセキュリティおよびコンプライアンスの重要性が増しました。こうした機関は、厳格な規制要件を満たしながら、市民との新たなつながり方に適応しなければなりません。

Google Cloud は近頃、こうした機関のセキュリティ変革パートナーとしての役割を担い、最も信頼できるクラウドとなるという公約を掲げました。この約束を果たすために、コンプライアンス認証を大幅に拡大し、セキュリティおよびコンプライアンスのリソースを追加して、公共部門による最新の要件に対応しようと取り組んでいます。

FedRAMP High 認証プロダクトの拡大と北米の公共機関向けの新機能の提供

FedRAMP は米国政府規模のプログラムであり、米国連邦政府機関に提供されるクラウド製品とサービスのセキュリティ評価、認可、モニタリングのための標準的なアプローチを指定します。Google Cloud は、過去数年間、FedRAMP Joint Authorization Board(JAB)と緊密に連携し、FedRAMP Authorization to Operate(ATO)に該当するプロダクトの範囲を拡大してきました。そして本日、Cloud DNS が Google Cloud の FedRAMP High 対応プロダクトの一つに加わったことをお知らせします。

Cloud DNS が加わったことで、米国の公共部門のお客様は、最高の民間分類レベルのセキュリティ要件を確実に遵守しながら、広範な Google Cloud テクノロジーを利用できるようになります。従来の政府クラウドの制限はありません。FedRAMP Moderate ATO に分類されるプロダクトを含め、Google Cloud の FedRAMP ATO について詳しくは、FedRAMP Marketplace をご覧ください。また、Google Cloud のコンプライアンス リソース センターの FedRAMP に関するページにも詳細が記載されています。

FedRAMP High の管理基準を迅速かつ簡単に満たしたいとお考えの場合、Assured Workloads for Government をご利用いただけます。これは、Google Cloud Platform(GCP)のお客様が、米国のデータ ロケーションと従業員のアクセス制御を米国の任意のクラウド リージョンに適用できる制御された環境を、迅速かつ簡単に作成できる初のサービスです。Assured Workloads for Government は、コンプライアンス中心のワークロードを構築するためのガイド付きプロセスを備えています。また、国防総省(IL4)、FBI の刑事司法情報サービス部門(CJIS)、および FedRAMP High の要件に対応できます。現時点ではベータ版ですが、これらのコンプライアンス機能は今月後半に一般提供されます。

Google Cloud は、カナダ連邦政府による安全なクラウド サービスに対する Protected B 認証も受けました。その結果、より多くのカナダの行政サービスや市民にサービスを提供できるようになり、政府システムの安全性、アジリティ、コスト効率の向上を支援しています。

アジア太平洋地域におけるデータ保護およびセキュリティ要件の支援

アジア太平洋地域の政府機関は、クラウド サービスを含めたデジタル テクノロジーの使用に関して、より厳格な要件を定めるようになっています。これに対して Google Cloud は、クラウド サービス プロバイダ(CSP)としての独自のコンプライアンスを提示するだけでなく、この地域の公共部門のお客様と緊密に連携し、コンプライアンス要件と共有責任を把握できるよう支援も行っています。最近の例をいくつかご紹介します。

  • インド - インドの Ministry of Electronics and Information Technology(MeitY)は、インドの公共機関での採用条件として、CSP がサービスをインド政府に登録するための要件とガイドラインを提供しています。Google Cloud は MeitY の要件を遵守していることを確認する監査を受け、正式に MeitY に登録されました。この評価に基づき、MeitY は Google プラットフォームのサービスの登録を確認するレターを発行しました。MeitY の登録確認レターは、こちらからリクエストできます。

  • 日本 - 同様に日本でも、Google Cloud は政府情報システムのためのセキュリティ評価制度(ISMAP)に登録されました。これは、公共部門のプロジェクトに参加するクラウド サービス プロバイダのセキュリティを評価するための日本政府のシステムです。Google Cloud Platform と Google Workspace が ISMAP コンプライアンスの評価を受け、無事に ISMAP 対応 CSP として登録されました。登録の詳細は、情報処理推進機構(IPA)のウェブサイトで確認できます。

  • オーストラリア - 2020 年 7 月、Australian Signals Directorate(ASD)は Information Security Registered Assessor’s Program(IRAP)フレームワークを更新しました。これは、組織のセキュリティ管理の実装と有効性をオーストラリア政府のセキュリティ要件に照らして評価するものです。以前は、IRAP の認証を受けた組織は ASD の Cloud Services List(CCSL)に記載されていました。現在では、CCSL に代わって Cloud Security Guidance パッケージが登場し、組織のデータ処理の適合性に関してリスク情報に基づく決断を下すことができるように、CSP を総合的に評価する方法に関するガイダンスを提供しています。今年の初めに、独立した第三者評価機関が Google Cloud Platform および Google Workspace を新しい IRAP 要件に照らして評価したところ、両方とも IRAP の PROTECTED レベル管理要件を完全に満たしていることが確認されました。これらの要件には、サイバーセキュリティ ロール、サイバーセキュリティ インシデントの検出と管理、物理的なセキュリティと人員によるセキュリティ、システム強化、ネットワーキング、暗号化などのガイドラインが含まれます。

  • インドネシア - Google Cloud は近頃、Google Cloud GR 71 マッピングを公表しました。この目的は、インドネシアの公共部門のお客様が、Google Cloud サービス使用時の GR 71 コンプライアンスを評価できるようにすることです。GR 71 は、Electronic System Operator(ESO)の活動を規制します。大まかに定義すれば、ユーザーのために電子システムを個別または集合的に提供、管理、運用するあらゆる人物、役人、企業体、社会人を指します。このマッピング文書により、インドネシアのお客様による GR 71 の解釈を支援し、情報セキュリティ、リスク管理、共有責任モデルに対する Google Cloud のアプローチの概要を提供することを目指しています。

  • タイ - タイの Ministry of Digital Economy and Society(MDES)が定めた Information Security Standard for Meeting Control Systems は、Google Meet のような会議管理システムのプロバイダ向けのガイドラインです。MDES による通告「Re: Security Standards of Meetings via Electronic Means, B.E. 2563」を遵守した会議システムの信頼性を確立することを目的としています。Electronic Transaction Development Agency(ETDA)は、B.E. 2563 の要件に照らして Google Meet を認証しました。

ヨーロッパでは地域固有の規制要件とともに進化

ヨーロッパでは近頃、GCP と Google Workspace に対して、ドイツ情報セキュリティ庁(BSI)の Cloud Computing Compliance Criteria Catalogue(「C5:2020」)のコンプライアンス証明書を受け取りました。C5:2020 は以前、Cloud Computing Compliance Controls Catalog(「C5」)と呼ばれていました。C5:2020 の発行を受け、Google Cloud は独立した第三者監査人と連携し、新しい要件に照らしてサービスを評価しました。公共部門の現在のお客様と使用をご検討中のお客様は、Google Cloud サービスを使用するためのコンプライアンスの確認として、また評価の一環として、Compliance Reports Manager から必要に応じて C5:2020 証明書をダウンロードできます。

クラウドのセキュリティとコンプライアンスを最優先に

Google Cloud は、公共部門のコンプライアンスに加えて、お客様向けの業界トップクラスの監査および認定も引き続き行っています。これには、ISO/IEC 27001/27017/27018 および SOC 1/2/3 に照らしたコンプライアンスの再認定が含まれます。また、最近、BSI C5、PCI-DSS、SOC 1/2/3 向けの Apigee 認定と AppSheet SOC 2 レポートをセルフサービス ポータルに追加しました。

コンプライアンスは公共部門での信頼の構築に不可欠であるため、デジタル トランスフォーメーションが政府および業界全体の基準となり続ける中、お客様、規制機関、業界団体と緊密に連携し、コンプライアンス フレームワークの強化に取り組んでいます。世界全体での継続的なコンプライアンスへの取り組みに関する最新情報については、コンプライアンス リソース センターをご覧ください。

-Google Cloud グローバル公共部門担当バイス プレジデント Mike Daniels

投稿先