Google Cloud の Professional Service Organization と連携して政府機関のコンプライアンスを加速

※この投稿は米国時間 2022 年 3 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

パブリック クラウド コンピューティングへの企業の IT 支出が、2025 年までに従来型の IT 支出を超える見込みであることをご存じでしょうか。アプリケーション ソフトウェア、インフラストラクチャ ソフトウェア、ビジネス プロセス サービス、システム インフラストラクチャに対する IT 支出の 51％ がパブリック クラウドに移行すると予測されています（2022 年は 41％）1。企業のクラウドへの移行が急速に進む中、政府機関はセキュリティとコンプライアンスの導入を優先的に急ぐ必要があります。

2021 年 5 月に米国政府が発令した大統領令では、米国の政府機関に、クラウド導入を加速させ、セキュリティのベスト プラクティスを取り入れ、ゼロトラスト アーキテクチャの導入計画を策定し、導入の枠組みを FedRAMP に合わせることを求めています。政府が安全なクラウドの導入に重点を置くことは、サイバーセキュリティ優先への大々的な方針転換を意味します。Google Cloud の公共部門向け Professional Services Organization（PSO）は、専門的なコンサルティングを通じて、お客様がクラウドにおけるセキュリティとコンプライアンスの要件を満たせるよう支援する取り組みを行っています。

Authority to Operate（ATO）を加速

FedRAMP（Federal Risk and Authorization Management Program: 米国連邦政府によるリスクおよび認証管理プログラム）は、2011 年に確立された政府規模のプログラムで、連邦政府全体で安全なクラウド サービスの導入を推進しています。FedRAMP は、クラウド テクノロジーと連邦政府機関のセキュリティ評価とリスク評価に対する、標準化されたアプローチを提供しています。米国の政府機関は、連邦政府のクラウド コンピューティング戦略「クラウド ファースト」の一環として、FedRAMP 認定のクラウド サービスを利用、導入するよう求めています。

Google Cloud は FedRAMP 認定のクラウド サービス プラットフォームと、FedRAMP 承認の豊富なプロダクトやサービス（92 のサービス、さらに増加中）を提供していますが、それでもお客様は使用するプロダクトやサービスにおいて Agency ATO を達成する任務を負っています。そのような状況の中で、Google Cloud ではお客様のこの任務を支援するために数多くのリソースを提供しています。Google Cloud の FedRAMP パッケージにアクセスするには、FedRAMP Package Access Request Form にご記入のうえ、info@fedramp.gov に送信してください。また、管理策実装の文書化の出発点として、Google の NIST 800-53 ATO Accelerator をご利用いただけます。最終的に、Google Cloud の公共部門向け PSO は、以下の戦略的コンサルティング エンゲージメントを提供し、お客様が Agency ATO プロセスを円滑化できるよう支援します。

• Cloud Discover: FedRAMP は 6 週間のインタラクティブ ワークショップで、Google Cloud の ATO プロセスに取り組み始めたばかりのお客様が対象です。お客様は、FedRAMP の基礎、Google のセキュリティ体制とコンプライアンス体制、Google Cloud で ATO にアプローチする方法について学びます。PSO は、綿密なインタビューと設計セッションを通じて、お客様が実行可能な ATO 計画を策定し、FedRAMP の準備状況を評価して、概念的な ATO 境界を構築できるよう支援します。このエンゲージメントにより、お客様は Google Cloud の FedRAMP ATO について明確に理解し、これに向けてのロードマップを確立できます。

• FedRAMP Security Review は、FedRAMP の運用準備においてお客様を支援する 10〜12 週間のエンゲージメントです。PSO のコンサルタントは、FedRAMP アーキテクチャを細かく検証し、NIST 800-53 セキュリティ管理策実装と、Google Cloud の安全なアーキテクチャのベスト プラクティスとの潜在的なギャップを特定します。セキュリティ レビューの結果は、構成ガイダンスと推奨事項を添えてお客様と共有されます。このエンゲージメントにより、お客様は FedRAMP ATO に必要な第三者機関や独立機関によるセキュリティ評価に向けて準備を整えることができます。

• Cloud Deploy: FedRAMP は数か月のエンゲージメントで、お客様が FedRAMP の Low、Moderate、High レベルでの Google Cloud の Agency ATO に備え、FedRAMP システム セキュリティ プラン（SSP）と、対応する NIST 800-53 セキュリティ管理策の内容を文書化できるよう設計されています。PSO は、お客様と協力して、FedRAMP システム アーキテクチャ、セキュリティ管理策実装、データフロー、システム コンポーネントの証拠を反映した、詳細な技術インフラストラクチャ設計ドキュメントとセキュリティ管理策のマトリックスを作成します。また、PSO が第三者評価組織（3PAO）や独立評価機関（IA）と提携し、FedRAMP セキュリティ評価に対するお客様の取り組みをサポートすることも可能です。このエンゲージメントにより、お客様のシステム オーナーは Agency ATO の評価やパッケージ提出の準備ができます。

ゼロトラスト戦略の開発

公共部門向け PSO は、FedRAMP に関する支援に加え、Google Cloud の最高情報セキュリティ責任者（CISO）チームと連携して、ゼロトラストのアーキテクチャと戦略の開発も支援しています。

• Zero Trust Foundations は、Google Cloud の CISO チームと PSO チームが共同で提供する 7 週間のエンゲージメントです。CISO と PSO は、ゼロトラストの基礎、Google の BeyondCorp を通じたゼロトラストへの道のり、多層防御のベスト プラクティスについてお客様に情報を提供します。CISO チームは、お客様とともに組織のゼロトラスト評価（ZTA）を進め、現在のセキュリティ体制と成熟度を理解します。その後、ZTA から得た分析情報をもとに、お客様と協力して、ゼロトラストの導入において最初の移行に適したワークロードを特定します。CISO による ZTA に続き、PSO が詳細なゼロトラスト ワークショップ（ZTW）を実施し、お客様の主要な関係者と協力して、特定された最初の移行対象ワークロードに対して NIST 800-207 に沿ったクラウドに依存しないゼロトラスト アーキテクチャを策定します。ゼロトラスト アーキテクチャは、2022 年 1 月に発表された米国行政管理予算局（OMB）の連邦政府ゼロトラスト移行戦略で指摘された重点分野に基づく、包括的なゼロトラスト戦略の成果物の一部となります。

PSO と連携して安全なクラウド導入を拡大

公共部門向け PSO は、実績ある手法を用いて、Google の技術的専門知識、クラウド戦略、実装ガイダンス、トレーニング、支援を提供し、お客様を成功へと導きます。企業の IT、運用、組織のモデルが進化し続ける中、Google の目標は、政府機関がクラウドでのセキュリティとコンプライアンス実現への道のりを加速できるよう支援することです。連邦政府との取り組みについて詳しくは、cloud.google.com/solutions/federal-government をご覧ください。

^{1 Gartner の見解: 2025 年までには主要な市場セグメントで企業の IT 支出の半分以上がクラウドに移行する}