17 の GCP プロダクトが FedRAMP High 認定を取得

※この投稿は米国時間 2019 年 12 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。

私たち Google Cloud は、市民サービスの改善や施策の効率向上、ミッションの遂行を支援するテクノロジーを公共部門に提供することに日夜努力しています。セキュリティとデータ保護を設計の中心原則に据えてプロダクトを構築し、それらを最も厳格な規制要件や標準規格に照らして定期的に検証しています。

そうした取り組みの成果として、Google Cloud Platform（GCP）が 5 つのクラウド リージョンの 17 のプロダクトで FedRAMP High 認定（ATO）を受けるとともに、FedRAMP Moderate 認定を 17 のクラウド リージョンの 64 プロダクトに広げたことを、私たちはうれしく思います。これにより、公共部門は民生分野における最高レベルのサービスのもとで、規制に準拠したワークロードを実行できるようになりました。

FedRAMP 認定の意味

FedRAMP は、米国の連邦政府機関に提供されるクラウド プロダクトおよびサービスのセキュリティ評価、認証、継続的モニタリングを標準化された形で規定する、米国連邦政府全体を対象としたプログラムです。一部のオンプレミス プライベート クラウドを除き、連邦政府機関のほとんどのクラウド デプロイメントとサービス モデルは、適切なリスク影響レベル（Low、Moderate、High）の FedRAMP 要件を満たさなければなりません。すでに Google Cloud は GCP と G Suite で Moderate レベルの認定を取得していますが、新たに High レベルの認定を GCP で受けたことは、セキュリティを最も重要視するお客様に対してテクノロジーへのより多くのアクセスを提供できることを意味します。

FedRAMP ATO は連邦政府機関に必須の標準ですが、金融サービスや医療、製造など他の業界でもセキュリティ基準として採用されています。GCP のお客様は、追加料金を払ったりサービスに変更を加えたりすることなく、FedRAMP High 認定のインフラストラクチャが有するメリットを享受できます。

FedRAMP High 認定の取得にあたっては、Google Cloud のインフラストラクチャとプラットフォームが、お客様のデータを安全に保つうえでどのように役立つかを詳しく文書化する必要がありました。そこで私たちは、社内で実装したゼロトラスト ネットワーキングを含む BeyondCorp モデルの原則を NIST 800-53r4 のセキュリティ要件の用語に丁寧に移し替え、それがさらに第三者機関によって文書化され、検証されました。このプロセスの過程で、Titan Security Key 認証システムにおける内部バージョンの FIPS 140-2 レベル 1 を全面的にクリアするとともに、レベル 3 の物理的な FIPS 検証も完了しました。

また、FedRAMP High の厳格な継続的モニタリング要件を満たすため、私たちは FedRAMP Joint Authorization Board と緊密に協力して、Google のモニタリング、パッチ適用、脆弱性スキャニングのインフラストラクチャについて文書化しました。

FedRAMP High 認定を取得したことで、未分類のワークロードのために最高レベルのデータ保護を必要とする政府機関のミッションをサポートできるようになりました。そうしたミッションには、医療提供、緊急時の対応、宇宙での活動、その他多くのことが含まれます。

クラウド イノベーションによる公共部門の支援

今回の FedRAMP High 認定は、米国の公共部門のお客様に対する私たちの継続的な投資とサポートを反映するものであると同時に、政府機関のクラウドへの移行に拍車がかかっていることを示してもいます。たとえば、最近私たちは地球外生命体を探す NASA-FDL の研究者を機械学習の側面から支援しましたし、Google Cloud Next '19 ではアメリカ議会図書館のチームが視覚障害者の図書の利用を広げるための取り組みについて講演しました。米国空軍のモデリングおよびシミュレーション トレーニング インフラストラクチャのモダナイズにも私たちは協力しています。

州や地方政府のレベルでも同様で、たとえばアリゾナ州は、セキュリティとコラボレーションの向上を目指して数千人の職員および契約作業員の G Suite への移行を計画しており、今後 3 年間で数百万ドルものコスト削減を見込んでいます。また、ニューヨーク市の NYC Cyber Command は、悪質なサイバー活動からニューヨーク市民を保護し、モバイル デバイスや公共 WiFi ネットワークのデータ プライバシーを守るため、Google Cloud と協力しながら、ログ分析やその他の取り組みの自動化と高速化に取り組んでいます。

公共部門担当の新たなリーダーたち

今回の認定取得は、公共部門に向けた Google Cloud のコミットメントを強固にすることを意味します。

私は今年初め、公共部門向け事業の責任者として Google Cloud に参加しました。また、州および地方政府を対象とする戦略の責任者となる Brent Mitchell と、連邦政府民生部門の営業戦略を率いる Lesta Brady も加わりました。最近では、世界中の公共部門に対する取り組みを推進するべく、Google Cloud 内に Global Public Sector を新設し、カナダ、EMEA、ラテン アメリカを担当するリーダーを迎え入れています。

最後になりましたが、古くからの Googler でチーフ インターネット エバンジェリストの Vint Cerf と、彼が率いるテクノロジー スペシャリスト グループが私のチームに参加し、彼らの専門知識を世界中の公共部門のお客様に提供することになりました。彼のチームは、インターネットの可能性とそれが実現するソリューションを引き続き人々に伝えていくことになります。これは、提供するサービスの一端を公共部門の意思決定者に理解していただくうえで非常に重要です。

私たちは、連邦、州、地方の政府機関におけるイノベーションを引き続き支援することを楽しみにしていますし、公共部門のニーズに応えるために新たな認定を取得することも目指しています。公共部門への取り組みの詳細はこちらをご覧ください。

- By Mike Daniels, VP, Public Sector