刑事司法情報サービス(CJIS)

米国連邦捜査局(FBI)の刑事司法情報サービス(CJIS)部門は、Google Cloud のようなクラウド サービス プロバイダ(CSP)を使用する際に刑事司法情報(CJI)を保護する方法について、連邦、州、地方、部族の機関に提供しています。

お客様は、Assured Workloads によるデータ境界Google Workspace の Assured Controls を活用することで、Google Cloud 上で CJIS セキュリティ ポリシー v6.0 に準拠できます。

CJIS の概要

FBI の CJIS 部門は、全米の刑事司法機関(CJAs)が活用する多くの国家データベースを監督しています。これらのデータベースで管理されているデータの多くは刑事司法情報(CJI)と見なされ、不正使用や不正公開からの保護対象となります。FBI の CJIS 部門が公開している CJIS セキュリティ ポリシー(「CJISSECPOL」)は、CJI を保護するための最低限のセキュリティ要件を定めています。

FBI は、要件に関する付属ドキュメントも提供しています。このドキュメントでは、CJIS セキュリティ ポリシーの最近の変更点が強調表示されており、CJI にアクセスする当事者のセキュリティの役割と責任を特定するのに役立ちます。CJI にアクセスする CJA は常に CJIS コンプライアンスを最終的に確保する責任を負いますが、要件コンパニオン ドキュメントは、誰(FBI CJIS 部門、CJA、サービス プロバイダなど)が、特定の要件が満たされていることを確認するための技術的能力を備えているのかを説明します。

Google Cloud のお客様は、Assured Workloads によるデータ境界Google Workspace の Assured Controls を使用して、CJIS セキュリティ ポリシー v6.0 へのコンプライアンスを確立できます。Google Cloud の v6.0 への準拠は、第三者評価機関(3PAO)である Coalfire によって独立して評価および検証されています。また、お客様が CJIS v6.0 に簡単に準拠できるように、CJIS 実装ガイドも用意しました。クラウド サービス プロバイダに適用される CJISSECPOL 要件を Google Cloud がどのように満たしているかを示す追加のコンプライアンス情報も、リクエストに応じて提供できます。

Google Cloud は、CJIS アドバイザリー ポリシー ボードの会議にも出席し、CJIS セキュリティ ポリシーと要件コンパニオン ドキュメントの新しいバージョンをレビューして、Google のポリシーと手順が変更内容に準拠していることを確認しています。

Google Cloud と CJIS コンプライアンス

Google Cloud

Google Cloud の Assured Workloads によるデータ境界は、お客様が CJIS セキュリティ ポリシー v6.0 に準拠するための最新のアプローチを提供し、FedRAMP High や国防総省 IL2 / IL4 / IL5 などの追加のフレームワークへの準拠を可能にします。

Assured Workloads によるデータ境界は、規制の遵守に向けてゼロトラスト、ソフトウェア ドリブンなアプローチを採用しています。お客様は、厳格な政府機関のクラウド コンプライアンス要件を満たしながら、物理的に分離されたクラウド アーキテクチャを使用する場合に失われる可能性のあるパフォーマンス、スケール、サービス可用性、費用、信頼性というメリットを提供できます。公共部門のお客様と刑事司法機関(CJA)は、Assured Workloads によるデータ境界を利用して、Google Cloud 環境で CJI を処理、保存、送信できます。無料トライアルをリクエストするには、こちらのフォームにご記入ください。

Assured Workloads によるデータ境界は、以下のような方法で、州、地方、部族、連邦の法執行機関(および CJI の刑事司法機関または刑事司法機関以外のユーザー)のセキュリティとコンプライアンスを簡素化します。

  • データ ロケーション コントロールを設定して、CJIS ワークロードを米国のみのリージョンに制限する(「データ所在地」)
  • 暗号化されていない CJI への付き添いなしのアクセスを、州の CJIS システム機関(CSA)または CJA による指紋ベースのバックグラウンド チェックを完了している米国在住の米国人に制限する
  • Google Cloud でホストされ、顧客管理の暗号鍵(CMEK)の使用を有効にする、または外部鍵マネージャーを使用する
  • お客様が管理者権限を制御し、可視化できるようにする
  • コンプライアンス違反の有無をお客様の環境で継続的にモニタリングする

Google Workspace

Google Workspace の Assured Controls により、組織は Google 社員による顧客データへのアクセスを制限したり、顧客データの保存場所を米国に限定したりするなど、組織とコンプライアンスの要件を満たすことができます。

Google Workspace を使用して CJIS ソリューションをデプロイすることを検討しているお客様は、Assured Controls を使用して、CJIS セキュリティ ポリシーに準拠したポリシーを設定できます。Google Workspace の CJIS ソリューションの構成ガイドは、こちらからご覧いただけます。

Google の担当者と CJIS スクリーニング

50 州およびコロンビア特別区のお客様は、Google Cloud で CJIS アプリケーションを自信を持ってホストまたは移行できます。Google は、お客様の実装をサポートし、CJIS セキュリティ ポリシーへの準拠を実証する能力を備えています。

Google Cloud の CJIS 対応人員は、中央集権型の審査を採用している以下の州で審査を受けています。アラバマ州、アラスカ州、アリゾナ州、コロラド州、デラウェア州、フロリダ州、ジョージア州、ハワイ州、アイダホ州、インディアナ州、カンザス州、ケンタッキー州、ルイジアナ州、メイン州、メリーランド州、マサチューセッツ州、ミシガン州、ミネソタ州、ミシシッピ州、ミズーリ州、モンタナ州、ネブラスカ州、ノースカロライナ州、ノースダコタ州、オクラホマ州、ペンシルバニア州、テネシー州、ユタ州、ワシントン州、ウェストバージニア州、ウィスコンシン州、ワイオミング州。

当社の人員は、その他のすべての州でバックグラウンド チェックを受ける準備ができています。上記以外の州で Google Cloud の人員を審査する方法について詳しくは、お住まいの州の CSA または cjis@google.com までお問い合わせください。

CJIS の対象となる Google Cloud サービス

Access Context Manager

アクセスの透明性

Agent Assist

AlloyDB for PostgreSQL

Apigee

App Hub

Artifact Registry

Backup for GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Binary Authorization

Certificate Authority Service

Cloud Asset Inventory

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager(Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT(ネットワーク アドレス変換)

Cloud OS Login API

Cloud Router

Cloud Run

Cloud Run functions

Cloud SQL

Cloud Storage

Cloud Tasks

Cloud Vision API

Cloud VPN

Cloud Workstations

Compute Engine

Connect

会話エージェント(Dialogflow CX)

会話型分析情報

データベース センター

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

重要な連絡先

Eventarc

Filestore

Firebase セキュリティ ルール

Firestore

Vertex AI の生成 AI

GKE Hub

GKE Identity Service

Google 管理コンソール

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Key Access Justifications

Looker(Google Cloud コア)

Memorystore for Redis

Model Armor

Network Connectivity Center

組織ポリシー サービス

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

サービス メッシュ

Spanner

Speech-to-Text

Storage Transfer Service

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Search

Vertex AI Workbench

Virtual Private Cloud

VPC Service Controls

Web Risk

Workforce Identity 連携

よくある質問

このたび、独立した第三者評価機関が Google Cloud のセキュリティ管理を評価し、CJIS セキュリティ ポリシー v6.0 へのコンプライアンスを Google Cloud が満たしていることを確認しました。

お客様または州の CJIS システム庁(CSA)からリクエストがあった場合、Google Cloud は管理契約を締結します。この契約では、Google Cloud がどのようにして CJIS セキュリティ ポリシーに準拠しているか、各当事者の責任、対象となるクラウド サービス、その他多くの重要な条項に関する詳細な情報をお客様に提供します。Google Cloud CJIS 管理契約書のコピーをご希望の場合は、cjis@google.com までメールでお問い合わせください。

Google Cloud のコンプライアンス チームは、クラウド サービス プロバイダに適用される CJISSECPOL 要件を Google Cloud がどのように満たしているかを示す詳細なコンプライアンスの説明も提供できます。

はい。Google Cloud では、Assured WorkloadsAssured Controls を通じて、お客様は CJIS ワークロードを米国のみのリージョンに制限できます。Google は、サービス固有の規約に従って、お客様のデータを保存します。

Google は州の CSA(または地方機関)と連携して、州の暗号化されていない CJI に付き添いなしでアクセスする可能性がある Google の従業員に対して、CJIS セキュリティ ポリシーに準拠した指紋ベースの身元調査を必ず受けるようにしています。対象となる Google 担当者は、FD-258 指紋カードと必要な書類を各 CSA または地方機関に提出します。

このプロセスにより、対象となる担当者は、指紋ベースの身元調査を完了し、CJIS セキュリティ意識向上トレーニングを修了し、CJIS セキュリティ補遺に署名した場合に限り、暗号化されていない CJI への付き添いなしでのアクセス権が付与されます。

Google は、サービスとオペレーションの核となるゼロトラストを実装しています。Google のインフラストラクチャは、その上で実行されているサービス間の信頼を前提としません。つまり、すべてのリソースへのアクセス リクエストは、信頼できないネットワークから発信されたものとして検査、認証、検証されます。

また、Google Cloud 内のお客様の環境は論理的に分離されているため、ユーザーやお客様が割り当てられていないリソースにアクセスすることはできません。顧客データ(CJI を含む)はドメインごとに論理的に分離されており、単一のテナントに対してデータが生成されるようになっています。Google Cloud は、このような方法で顧客データを保護する一方で、より迅速な機能開発と顧客の費用対効果を実現できるため、政府機関のお客様にとって最適な選択肢となります。

はい。Google Cloud では、本番環境に BoringCrypto(証明書 4735)と呼ばれる FIPS 140-3 認証取得済みの暗号化モジュールを使用しています。Google Cloud では、1 つ以上の暗号化メカニズムを使用して、Google の施設内で転送中や保存中のお客様のすべてのコンテンツを暗号化しています。お客様による操作は必要ありません。

これによりお客様は、Google が管理する鍵、顧客管理の暗号鍵、外部鍵管理などのさまざまな Cloud Key Management オプションを選択しながら、CJIS セキュリティ ポリシーのコンプライアンスを維持できます。Google Cloud では保存中および転送中のデータにこのレベルの暗号化をデフォルトで使用しているため、お客様は FIPS 140-3 認証取得済み暗号化を継承でき、プロダクトやサービスを FIPS モードで実行しなくてよくなります。

いいえ。Google は顧客管理の暗号鍵を提供し、暗号化されていない CJI への付き添いなしのアクセスを、適切にスクリーニングされた CJIS スコープの担当者に制限しているため、Google Cloud の CJIS に対する Confidential Computing は不要です。ただし、お客様は安全で制限された CJIS データ境界に加えて、Confidential Computing を利用することもできます。

CJIS セキュリティ ポリシーでは、政府機関向けクラウド(「GovCloud」)の使用は義務付けられていません。また、GovCloud を構成するものに関する定義や基準もありません。Google Cloud の CJIS データ境界は、お客様の CJIS セキュリティ ポリシーへの準拠をサポートします。Google Cloud のコンプライアンスは、独立した第三者評価機関と多数の州の CSA によって検証されています。 

Google は、パブリック クラウド インフラストラクチャに対する多層セキュリティ アプローチに投資し、暗号化や強力な人員データアクセス制御などの機能を提供しています。これと、前述のゼロトラストの実装により、CJIS セキュリティ ポリシーの厳しい要件を満たすために必要な強力なセキュリティ ポスチャーが実現されると同時に、お客様はパブリック クラウドの継続的なプロダクト イノベーションを活用できるようになります。

Google は、前述の制御(およびその他多く)の実装で FedRAMP Moderate 要件と FedRAMP High 要件に準拠し、合同承認委員会(JAB)によって承認されています。

行政管理予算局(OMB)のメモ M-24-15(「連邦政府によるリスクおよび認証管理プログラム(FedRAMP)のモダナイズ」)で、連邦機関が隔離された GovCloud アーキテクチャから移行することを推奨しており、Google のアプローチが正しいことが確認できます。

「FedRAMP は、連邦政府のセキュリティ フレームワークの適用やその他のプログラム運用を通じて、連邦政府機関向けの専用サービスを別途作成するよう、商用クラウド プロバイダにインセンティブを与えたり、義務付けたりすべきではありません。連邦政府は、市場で成功するためにコアプロダクトに投資、セキュリティ メンテナンス、迅速な機能開発を行っている商用クラウド プロバイダの恩恵を受けています。同様に、商用プロバイダは、FedRAMP とのエンゲージメントにより改善されたセキュリティ対策をコアサービスに統合して、すべてのお客様に利益をもたらすよう動機付けられます。」

はい。Google Cloud または Google Workspace を使用する場合、お客様は顧客データの所有者となります。データ処理に関する Google の取り組みについて詳しくは、Cloud のデータ処理に関する追加条項(CDPA)とプライバシー リソース センターをご覧ください。

次のステップ

$300 分の無料クレジットと 20 以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。

Google Cloud
ドキュメントサポート
コンソール
ログイン
Security
脅威インテリジェンスSecOpsクラウド セキュリティコンサルティングセキュリティに関するリソース
  • デジタル変革を加速させましょう
  • お客様がデジタル トランスフォーメーションに乗り出したばかりでも、あるいはすでに進めている場合でも、Google Cloud は困難な課題の解決を支援します。
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
  • Google の透明性の高い料金設定の手法で費用を削減
  • Google Cloud の従量課金制では、毎月の使用量と、リソース料金の前払い割引に基づいて自動的に割引が適用されます。見積もりをご希望の場合は、今すぐお問い合わせください。
Google Cloud